原标题:《医疗器械网络安全注册技术审查指导原则》延伸解读——网络安全可追溯分析报告
《医疗器械网络安全注册技术审查指导原则》(以下简称“指导原则”)已经实施了一年了。但相信不少企业,对指导原则提到的“网络安全可追溯性分析报告”,还有有点搞不明白。今天我们对这份分析报告进行一点探讨。
先列出指导原则的原文:“提供网络安全测试计划和报告,证明医疗器械产品的网络安全需求(如保密性、完整性、可得性等特性)均已得到满足。同时还应提供网络安全可追溯性分析报告,即追溯网络安全需求规范、设计规范、测试、风险管理的关系表。”
从字面上理解,就是将网络安全的“需求规范”、“设计规范”、“测试”、“风险管理”这四个部分列出,并给出对应的关系表。简简单单一句话,做起来却不是那么简单。我们先分析一下。
上述的四个部分是有限定范围的,是指“网络安全”范围的。因此,我们的可追溯分析报告是圈定在网络安全范围的。也就是医疗器械相关数据的保密性(confidentiality)、完整性(integrity)和可得性 (availability)。
只有在这个范围内的需求规范、设计规范、测试和风险管理才需要编制可追溯分析报告。
其次,我们对上面四个名词进行解读
▍“需求规范”网络安全范围的需求规范包括哪些?可以从以下几个方面来说:
数据交换
网线连接:无线连接(蓝牙,WiFi,RFID)?
采用的数据协议:DICOM ? 蓝牙?TCP/IP ?又或者是自定的串口协议?
数据加密or 脱敏
是否对数据加密?加密方式是什么?是否采用通用的加密方式?
是