午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、.附件醫 療 器 械 網 絡 安 全 注 冊 技 術 審察 指 導 原 則本指導原則旨在指導注冊申請人提交醫療器材網絡安全注冊申報資料，同時規范醫療器材網絡安全的技術審評要求。本指導原則是對醫療器材網絡安全的一般性要求，注冊申請人應依據醫療器材產品特征提交網絡安全注冊申報資料， 判斷指導原則中的詳細內容能否合用， 不合用內容詳述原由。 注冊申請人也可采納其余知足法例要求的代替方法， 但應供給詳細的研究資料和考證資料。本指導原則是在現行法例和標準系統以及目前認知水平下、并參照了外國法例與指南、 國際標準與技術報告擬訂的。 跟著法例和標準的不停完美， 以及認知水平易技術能力的不停提升， 有關內容也2、將合時進行訂正。本指導原則是對注冊申請人和審評人員的指導性文件， 不包含審評審批所波及的行政事項， 亦不作為法例強迫履行， 應在依據有關法例的前提下使用本指導原則。本指導原則作為 醫療器材軟件注冊技術審察指導原則的增補，應聯合醫療器材軟件注冊技術審察指導原則的有關要.求使用。 本指導原則是醫療器材網絡安全的通用指導原則，波及網絡安全的醫療器材產品指導原則可在本指導原則基礎長進行有針對性的調整、改正和完美。一、合用范圍其余本指導原則合用于擁有網絡連結功能以進行電子數據互換或遠程控制的第二類、 第三類醫療器材產品的注冊申報， 此中網絡包含無線、 有線網絡，電子數據互換包含單向、 雙向數據傳輸，遠程3、控制包含及時、非及時控制。同時，本指導原則也合用于采納儲存媒介以進行電子數據交換的第二類、 第三類醫療器材產品的注冊申報， 此中儲存媒介包含但不限于光盤、挪動硬盤和 U 盤。二、基來源則跟著網絡技術的發展， 愈來愈多的醫療器材具備網絡連結功能以進行電子數據互換或遠程控制， 在提升醫療服務質量與效率的同時也面對著網絡攻擊的威迫。 醫療器材網絡安全出現問題不單可能會入侵患者隱私， 并且可能會產生醫療器材非預期運轉的風險，致使患者或使用者遇到傷害或死亡。 所以，醫療器材網絡安所有是醫療器材安全性和有效性的重要構成部分之一。醫療器材網絡安所有是指保持醫療器材有關數據的保密性（ confidential4、ity ）、完好性（ integrity ）和可得性1（availability ）1在信息安全領域 availability 譯為可用性， 而在醫療器材領域 usability 譯為可用性，為防止惹起歧義本指導原則將 availability 譯為可得性。.（改自 GB/T 29246-2012信息技術安全技術信息安全管理系統概括和詞匯）：1.保密性：指數據不可以被未受權的個人、實體利用或知悉的特征，即醫療器材有關數據僅可由受權用戶在受權時間以受權方式進行接見；2.完好性：指保護數據正確和完好的特征，即醫療器材有關數據是正確和完好的，且未被竄改；3.可得性：指依據受權個人、實體的要求可接見和5、使用的特性，即醫療器材有關數據能以預期方式合時進行接見和使用。其余，醫療器材網絡安全特征還包含真切性 （ authenticity ）、可核查性（ accountability ）、抗狡辯（ non-repudiation ）和靠譜性（ reliability ）等特征，相應定義詳見 GB/T 29246-2012 。注冊申請人應該聯合醫療器材產品的預期用途、 使用環境和核心功能以及預期相連設施或系統 （如其余醫療器材、 信息技術設施）的狀況來確立醫療器材產品的網絡安全特征， 并采納鑒于風險管理的方法來保證醫療器材產品的網絡安全：辨別財產（ asset，對個人或組織有價值的任何東西）、威迫（t6、hreat，可能致使對個人或組織產生傷害的非預期事件發生的潛伏原由） 和柔弱性（vulnerability ，可能會被威迫所利用的財產或風險控制措施的短處） ，評估威迫和柔弱性對于醫療器材產品和患者的影響以及被利用的可能性， 確立風險水平并采納適合的風險控制舉措，.鑒于風險接受準則評估節余風險。注冊申請人應該在醫療器材產品全生命周期過程中連續關注網絡安全問題，包含醫療器材產品的設計開發、生產、分銷、部署和保護。 同時，注冊申請人應該聯合自己質量管理系統的要乞降醫療器材產品特色來保證醫療器材產品的網絡安全， 包含上市前和上市后的有關要求， 如風險管理、設計開發、 網絡安全保護及用戶見告等要求。 7、其余，注冊申請人可采納信息安全領域的優秀工程 2 實踐來完美醫療器材產品的網絡安全管理，保證醫療器材產品的安全性和有效性。注冊申請人應該連續追蹤與網絡安全有關的國家法律法例（如中華人民共和國網絡安全法 ）以及有關部門 （如公安部、國家網信辦、衛生計生委、工業和信息化部）的規章，醫療器材的網絡安全應該切合相應法律法例和部門規章的要求。醫療器材產品在使用過程中常與非注冊申請人預期的設施或系統相連結， 這就使得注冊申請人自己難以控制和保證醫療器材產品的網絡安全。 所以，醫療器材的網絡安全需要注冊申請人、用戶和信息技術服務商的共同努力和共同努力才能得以保障。 可是這其實不意味著注冊申請人能夠免去醫療器8、材網絡安全的有關責任，注冊申請人應該保證醫療器材產品自己的網絡安全， 并明確與其預期相連設施或系統的接口要求， 進而保證醫療器材產品2在信息安全領域， IEC 27000 系列標準規范了信息安全管理系統（ ISMS）認證要求，本指導原則不要求制造商進行 ISMS 認證，但建議制造商參照有關標準要求。.的安全性和有效性。醫療器材網絡安全防備層級可分為產等級和系統級， 保證舉措包含管理舉措、 物理舉措和技術舉措， 本指導原則以醫療器材數據安全為核心主要關注產等級的技術保證舉措。鑒于醫療器材網絡安全擁有影響要素多、 波及面廣、 擴散性強和突發性高等特色， 獨自考慮醫療器材產品的軟件安全性級別不足以保9、證其網絡安全， 所以對于與醫療器材網絡安全有關的注冊申報資料一致進行要求。三、網絡安全考量（一）數據考量醫療器材有關數據從內容上可分為以下兩種種類：1.健康數據： 注明生理、 心理健康狀況的個人數據 （“ Private Data”，又稱個人數據 “ Personal Data”、敏感數據“Sensitive Data”，指可用于人員身份識其余有關信息） ，波及患者隱私信息；2.設施數據：描繪設施運轉狀況的數據，用于監督、控制設備運轉或用于設施的保護養護，自己不波及患者隱私信息。醫療器材有關數據的互換方式可分為以下兩種狀況：1. 網絡：經過網絡（包含無線網絡、有線網絡）進行電子數據互換或遠程控10、制， 需要考慮網絡有關要求 （如接口、 帶寬等），數據傳輸協議需考慮能否為標準協議 （即業內公認標準所規范的協議），遠程控制需考慮能否為及時控制；.2.儲存媒介：經過儲存媒介（如光盤、挪動硬盤、U 盤等）進行電子數據互換，數據儲藏格式需考慮能否為標準格式（即業內公認標準所規范的格式）。注冊申請人應該鑒于醫療器材有關數據的種類、功能、用途、互換方式及要求， 并聯合醫療器材產品特征考慮其網絡安全問題。對于健康數據， 注冊申請人應該依據患者隱私保護的有關規定。對于無線設施， 注冊申請人應該依據無線電管理的有關規定。（二）技術考量用戶接見控制體制應該與醫療器材產品特征相適應，包含但不限于用戶身份鑒識方11、法（如用戶名、口令等）、用戶種類及權限（如系統管理員、一般用戶、設施保護人員等） 、口令強度設置、軟件更新受權等。醫療器材有關數據在網絡傳輸或數據互換過程中應該保證保密性和完好性， 同時均衡可得性的要求， 特別是擁有遠程控制功能的醫療器材。 注冊申請人可采納加密、 數字署名、標準協議、校驗等技術來保證醫療器材的網絡安全。鑒于預期用途、 使用環境的限制， 醫療器材對于網絡安全威迫的探測、響應和恢復能力應該與醫療器材的產品特征相適應。注冊申請人可采納防火墻、 入侵檢測和歹意代碼防備等技術來保證醫療器材的網絡安全。醫療器材網絡安全能力建設可參照有關的國際、國家標準.和技術報告，如 IEC/TR 8012、001-2-2 3規范了十九項網絡安全能力：自動注銷（ ALOF ）、審察控制（ AUDT ）、受權（ AUTH ）、安全特征配置（ CNFS ）、網絡安全產品升級（CSUP）、健康數據身份信息去除（ DIDT ）、數據備份與災害恢復（DTBK ）、緊迫接見（ EMRG ）、健康數據完好性與真切性（IGAU ）、歹意軟件探測與防備（MLDP ）、網絡節點鑒識 （ NAUT ）、人員鑒識 （ PAUT ）、物理鎖（ PLOK ）、第三方組件保護計劃（RDMP ）、系統與應用軟件硬化（ SAHD ）、安全指導（SGUD ）、健康數據儲存保密性（ STCF）、傳輸保密性（ TXCF ）和傳輸完好性（13、 TXIG ），注冊申請人可依據醫療器材的產品特征考慮其網絡安全能力要求的合用性。（三）現成軟件考量醫療器材使用現成軟件的狀況日趨廣泛， 特別是系統軟件和支持軟件。 所以，注冊申請人相同需要關注現成軟件的網絡安全問題，應該依據質量管理系統要求成立網絡安全保護流程， 并將醫療器材網絡安全信息及時通知用戶。對于應用軟件， 注冊申請人需要要點關注其網絡安全問題對醫療器材臨床應用的影響。 而對于系統軟件和支持軟件， 注冊申請人需要要點關注其安全補丁更新對醫療器材的影響，安全補丁3 詳 見 IEC/TR 80001-2-2:2012Application of risk management for I14、T-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls.更新屬于設計更改，需要進行考證與確認，但往常狀況下可視為稍微軟件更新，除非影響到醫療器材的安全性和有效性。四、網絡安全文檔（一）基本考量網絡安全更新 （包含自主開發軟件和現成軟件）依據其對醫療器材的影響程度可分為以下兩類：1.重要網絡安全更新：影響到醫療器材的安全性或有效性的網絡安全更新；2.稍15、微網絡安全更新：不影響醫療器材的安全性與有效性的網絡安全更新，如慣例安全補丁。醫療器材產品發生重要網絡安全更新應進行允許事項更改，而發生稍微網絡安全更新經過質量管理系統進行控制， 無需進行注冊更改，待到下次注冊（注冊更改和連續注冊）時提交相應注冊申報資料。 醫療器材同時發生重要和稍微網絡安全更新， 依據風險從高原則應進行允許事項更改。波及召回的網絡安全更新應依據醫療器材召回的有關法例辦理，不屬于本指導原則議論范圍。軟件版本命名規則應試慮網絡安全更新的狀況。注冊申請人在提交注冊申報資料時， 應依據醫療器材網絡安全的詳細狀況提交網絡安全描繪文檔或慣例安全補丁描繪文檔。網絡安全描繪文檔合用于產品注冊16、重要網絡安全更新，慣例安.全補丁描繪文檔合用于稍微網絡安全更新。（二）網絡安全描繪文檔1.基本信息描繪醫療器材產品的有關信息：（ 1）種類：健康數據、設施數據；（ 2）功能：電子數據互換 （單向、 雙向）、遠程控制（及時、非及時）；（ 3）用途：如臨床應用、設施保護等；（ 4）互換方式：網絡（無線網絡、有線網絡）及要求（如傳輸協議（標準、自定義）、接口、帶寬等），儲存媒介（如光盤、挪動硬盤、 U 盤等）及要求（如儲存格式（標準、自定義） 、容量等）；對于專用無線設施（非通用信息技術設施） ，還應提交切合無線電管理規定的證明資料；（ 5）安全軟件：描繪安全軟件（如殺毒軟件、防火墻等）的名稱、型17、號規格、完好版本、供給商、運轉環境要求；（ 6）現成軟件： 描繪現成軟件 （包含應用軟件、 系統軟件、支持軟件）的名稱、型號規格、完好版本和供給商。2.風險管理供給醫療器材網絡安全風險管理的剖析報告和總結報告，確保所有節余風險均是可接受的。3.考證與確認供給網絡安全測試計劃和報告，證明醫療器材產品的網絡安.全需求（如保密性、完好性、可得性等特征）均已獲得知足。同時還應供給網絡安全可追憶性剖析報告，即追憶網絡安全需求規范、設計規范、測試、風險管理的關系表。對于安全軟件，應供給兼容性測試報告。對于標準傳輸協議或儲存格式，應供給標準切合性證明資料，而對于自定義傳輸協議或儲存格式，應供給完好性測試總結18、報告。對于及時遠程控制功能，應供給完好性和可得性測試報告。4.保護計劃描繪軟件（含現成軟件）網絡安全更新的保護流程，包含更新確認和用戶見告。（三）慣例安全補丁描繪文檔提交軟件（含現成軟件）慣例安全補丁的狀況說明（補丁描述、影響剖析、用戶見告計劃）、測試計劃與報告、新增已知剩余缺點狀況說明（證明新增風險均是可接受的）。五、注冊申報資料要求（一）產品注冊1.軟件研究資料注冊申請人應獨自提交一份網絡安全描繪文檔，詳細要求詳見第四節。2.產品技術要求注冊申請人應在產品技術要求性能指標中明確數據接口、用.戶接見控制的要求：（ 1）數據接口：傳輸協議 /儲存格式；（ 2）用戶接見控制： 用戶身份鑒識方法、19、 用戶種類及權限。3.說明書說明書應供給對于網絡安全的有關說明，明確運轉環境 （含硬件配置、軟件環境和網絡條件）、安全軟件（如殺毒軟件、防火墻等）、數據與設施（系統）接口、用戶接見控制體制、軟件環境（含系統軟件、支持軟件、應用軟件）與安全軟件更新的相關要求。（二）允許事項更改1.軟件研究資料醫療器材允許事項更改應依據網絡安全更新狀況提交變化部分對產品安全性與有效性影響的研究資料：（ 1）波及重要網絡安全更新：獨自提交一份網絡安全描繪文檔，詳細要求詳見第四節；（ 2）僅發生稍微網絡安全更新：獨自提交一份慣例安全補丁描繪文檔，詳細要求詳見第四節；（ 3）未發生網絡安全更新：出具真切性申明。2.產品20、技術要求如合用，產品技術要求應表現對于網絡安全的更改狀況。3.說明書如合用，說明書應表現對于網絡安全的更改內容。.（三）連續注冊如合用，醫療器材連續注冊產品剖析報告第 （六）項應獨自提交一份慣例安全補丁描繪文檔，詳細要求詳見第四節。六、參照文件（一）中華人民共和國網絡安全法 （中華人民共和國主席令第五十三號）（二）國務院辦公廳對于促使和規范健康醫療大數據應用發展的指導建議（國辦發 201647 號）（三）醫療器材注冊管理方法 （國家食品藥品監察管理總局令第 4 號）（四）醫療器材說明書和標簽管理規定 （國家食品藥品監察管理總局令第 6 號）（五）國家食品藥品監察管理總局對于宣布醫療器材注冊申報21、資料要乞降同意證明文件格式的通告 （國家食品藥品看管總局通告 2014 年第 43 號）（六）國家食品藥品監察管理總局對于公布醫療器材軟件注冊技術審察指導原則的通知（國家食品藥品看管總局通知2015年第 50 號）（七）醫療器材召回管理方法（試行）（原衛生部令第82 號）.（八）人口健康信息管理方法 （試行）（國衛規劃發 201424 號）（九）國家衛生計生委對于推動醫療機構遠程醫療服務的建議（國衛醫發 2014 51 號）（十） GB/T 20271-2006信息安全技術信息系統通用安全技術要求（十一） GB/T 20984-2007 信息安全技術信息安全風險評估規范（十二） GB/T 2222、080-2016信息技術安全技術信息安全管理系統要求（十三） GB/T 22081-2016信息技術安全技術信息安全管理適用規則（十四） GB/T 29246-2012信息技術安全技術信息安全管理系統概括和詞匯（十五） GB/Z 24364-2009信息安全技術信息安全風險管理指南（十六） YY/T 0287-2003 醫療器材質量管理系統用于法例的要求（十七） YY/T 0316-2016 醫療器材風險管理對醫療器材的應用（十八） YY/T 0664-2008醫療器材軟件軟件生計周期過程.（十九） YY/T1474-2016 醫療器材可用性工程對醫療器械的應用（二十） FDA, Cybers23、ecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005-1-14（ 二 十 一 ） FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2014-10-2（二十二） FDA, Radio Frequency Wireless Technology24、 in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2013-8-14（二十三） FDA, Postmarket Management ofCybersecurity in Medical Devices Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-22（ 二 十 四 ） FDA, Design Considerations and Pre-market Submission25、Recommendations for InteroperableMedical Devices Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-26（二十五） IEC 60601-1Edition3.1:2012, Medical electrical equipment - Part 1: General requirements for basic safety andessential performance（二十六） IEC 82304-1, Health Software - Pa26、rt 1: General.requirements for product safety（二十七） IEC80001-1:2010, Application of risk managementfor IT-networks incorporating medicaldevices-Part1:Roles,responsibilities and activities（ 二 十 八 ） IEC/TR80001-2-1:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-1: S27、tep-by-step riskmanagement of medical IT-networks -Practical applications and examples（ 二 十 九 ） IEC/TR80001-2-2:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-2: Guidance for the disclosure and communication ofmedicaldevice security needs, risks and controls（ 三 十28、 ） IEC/TR80001-2-3:2012,Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-3: Guidance for wireless networks（ 三 十 一 ） IEC/TR80001-2-4:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-4: Applicationguidance -General implementationguidance 29、forhealthcare delivery organizations（ 三 十 二 ） IEC/TR80001-2-5:2014, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part.2-5: Application guidance - Guidance on distributed alarm systems（ 三 十 三 ） ISO/TR 80001-2-6:2014, Application of risk management for IT-networks incorporat30、ing medical devices -Part2-6: Application guidance - Guidance for responsibility agreements（ 三 十 四 ） ISO/TR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations (HDOs) on how to se31、lf-assess their conformance withIEC 80001-1（ 三 十 五 ） IEC/TR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2（三十六） IEC/TR 8000132、-2-9, Application of risk management for IT-networks incorporating medical devices - Part 2-9:Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities （三十七） ISO/DIS 27799Health informatics - Informationsecurity management33、 in health using ISO/IEC 27002（ 三 十 八 ） HIMSS/NEMA HN 1-2013, Manufacturer Disclosure Statement for Medical Device Security.（ 三 十 九 ） NEMA/MITACSP 1-2016,CybersecurityforMedical Imaging（四十） IMDRF/SaMD WG/N12FINAL:2014, Software as a Medical Device (SaMD): Possible Framework for Risk Categorization and Corresponding Considerations, 2014-9-18