醫療器械網絡安全能力詳解及自評（四）

通過前幾期的分享，相信大家已經對醫療器械網絡安全能力有了一定的了解。本期將為大家繼續講解剩余4項以及MDS2 (HN 1-2003)中的第20項其他安全注意事項（OTHR）。往期內容詳見醫療器械網絡安全能力詳解及自評（一）、醫療器械網絡安全能力詳解及自評（二）、醫療器械網絡安全能力詳解及自評（三）。

       16.網絡安全使用指導（SGUD）：產品為用戶提供網絡安全使用指導的能力。

Ø 為系統的操作者和管理員提供安全指南

在MDS² (HN 1-2003)中的評估要素：

17.數據存儲保密性與完整性（STCF）：產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力。

Ø 醫療器械制造商建立技術控制措施，以減少存儲在產品或可移動介質上的健康數據的完整性和保密性受到損害的可能性。

在MDS² (HN 1-2003)中的評估要素：

18.數據傳輸保密性（TXCF）：產品確保數據傳輸保密性的能力。

Ø 為滿足相關法規和標準的要求，制造商應采取措施，使得在經過認證的節點間傳輸健康數據時，保證數據的保密性，以便與在相對開放的網絡和/或/相對嚴苛的保密的環境中進行健康數據的可靠傳輸。

19.數據傳輸完整性（TXIG）：產品確保數據傳輸完整性的能力。

Ø 醫療器械保證傳輸過程中數據的完整性，以便與在相對開放的網絡和/或/相對嚴苛的保密的環境中進行健康數據的傳輸。

在IEC80001-2-2中有19項網絡安全能力。但在我國的《醫療器械網絡安全注冊審查指導原則》（修訂版）中還額外提出來三項：遠程訪問與控制（RMOT）、連通性（CONN）和現成軟件清單（SBOM）。目前還未有文獻對這三項內容有更進一步的解釋。不過私認為MDS2 (HN 1-2003)中第20項其他安全注意事項（OTHR）的細則內容與遠程訪問與控制（RMOT）能力可以基本等同。

遠程訪問與控制（RMOT）：產品確保用戶遠程訪問與控制（含遠程維護與升級）的網絡安全的能力

在MDS2 (HN 1-2003)中的評估要素

至此，醫療器械網絡安全能力已介紹完畢，其主要包括對網絡安全威脅的識別、防護、探測、響應、恢復的能力。對于特定醫療器械產品，需結合產品具體情況補充其他網絡安全能力要求。企業在設計產品時要根據產品本身的預期用途、使用場景和核心功能等設定相應的網絡安全措施，想要了解更多有關軟件方面的資訊，可關注我們下方的公眾號也可與我們取得聯系。

參考資料：

（1）IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls

（2）Manufacturer Disclosure Statement for Medical Deceive Security-MDS²

（3）T/ZMDS 20003-2019 醫療器械網絡安全風險控制 醫療器械網絡安全能力信息