ICS 35.240.99 R 10 DB32 江 苏 省 地 方 标 准 DB32/T 3769—2020 医疗器械网络信息安全基本要求 Basic requirements of information security of medical devices 2020-04-08 发布 2020-05-15 实施 江苏省市场监督管理局 发 布 DB32/T 3769-2020 目 次 目 次 ............................................................................................................................................................. I 前 言 ............................................................................................................................................................ II 1 2 3 4 5 6 7 8 9 范围 .............................................................................................................................................................. 3 规范性引用文件 .......................................................................................................................................... 3 术语和定义 .................................................................................................................................................. 3 日志审计 ...................................................................................................................................................... 5 授权访问管理 .............................................................................................................................................. 6 非授权访问管理 .......................................................................................................................................... 7 数据安全保护 .............................................................................................................................................. 7 随附文件对用户管理产品信息安全说明的要求 ...................................................................................... 7 产品设计文档 .............................................................................................................................................. 8 附录 A ................................................................................................................................................................ 9 参考文献 .......................................................................................................................................................... 10 I DB32/T 3769-2020 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由江苏省药品监督管理局提出并归口。 本标准起草单位：江苏省医疗器械检验所、南京凌凯威软件有限公司。 本标准起草人员：刘茹、张宜川、耿恺频、刘颖、丁楠、鲍远兵、胡济民、李宁、张超、蒲璐。 II DB32/T 3769-2020 医疗器械网络信息安全基本要求 1 范围 本标准规定了医疗器械网络信息安全的基本要求。 本标准适用于具有网络连接功能以进行电子数据交换或远程控制的医疗器械产品，其中网络包括无 线、有线网络，电子数据交换包括单向、双向数据传输，远程控制包括实时、非实时控制。也适用于采 用存储媒介以进行电子数据交换的医疗器械产品，其中存储媒介包括但不限于光盘、移动硬盘和U盘。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25000.10-2016 系统与软件工程 系统与软件质量要求和评价（SQuaRE）第10部分：系统与 软件质量模型 GB/T 25000.51-2016 系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分：就绪 可 用软件产品（RUSP）的质量要求和测试细则 GB/T 25069-2010 信息安全技术 术语 GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇 GB/T 35273-2017 信息安全技术个人信息安全规范 YY/T 0316-2016 医疗器械 风险管理对医疗器械的应用 3 术语和定义 3.1 接口 electronic interface 就本标准而言，接口是指系统之间相互作用和/或相互通信的媒介，从而允许系统之间进行信息交 换。它包括连接类型(如USB端口、无线连接)和信息内容。它是医疗设备与其他设备或其他医疗设备之 间交换和使用信息的媒介。 3.2 产品敏感信息 product sensitive information 产品敏感数据是指可以影响产品信息安全的任何重要数据。 [注：包括但不限于密码、密钥、随机数生成器的种子、身份验证数据、设备控制信息等。] 3.3 访问权限 access permission 访问权限，是根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些 控制的机制。 3 DB32/T 3769-2020 3.4 随附文件 accompanying documents 随同医疗器械的，为医疗器械安装、使用和维护的责任方提供信息以及为操作者或使用者提供信息， 特别是关于安全信息的文件 [YY/T 0316-2016，定义2.1] 3.5 制造商 manufacturer 在上市和/或投入服务前。对医疗器械的设计、制造、包装或作标记、系统的装配或者改装医疗器 械负有责任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。 [YY/T 0316-2016，定义2.8] 3.6 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、 征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。 [GB/T 35273-2017，定义 3.2] 3.7 访问控制 access control 一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。 [GB/T 25069-2010，定义2.2.1.42] 3.8 完整性 integrity 准确和完备的特性。 [GB/T 29246-2017，定义 2.40] 3.9 真实性 authenticity 确保主体或资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。 [GB/T 25069-2010，定义2.1.69] 3.10 抗抵赖 non-repudiation 证明某一动作或事件已经发生的能力，以使事后不能否认这一动作或事件。 [GB/T 25069-2010，定义2.1.17] 3.11 可核查性 accountability 确保可将一个实体的行动唯一地追踪到此实体的特性。 [GB/T 25069-2010，定义2.1.18] 4 DB32/T 3769-2020 3.12 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄露的特性。 [GB/T 29246-2017，定义2.12] 3.13 可得性 已授权实体一旦需要就可访问和使用的数据和资源的特性。 [注：改写自GB/T 25069-2010，定义2.1.20可用性] 3.14 信息安全 information security 对信息的保密性、完整性、和可得性的保持。 注：另外，也可包括诸如真实性、可核查性、抗抵赖等其他特性。 [GB/T 29246-2017，定义2.33] 3.15 去标识化 de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程