问：医疗器械软件的网络安全漏洞评估有什么具体要求？

答：根据《医疗器械网络安全注册审查指导原则（2022年修订版）》规定的软件安全性级别，网络安全评估具有不同的要求，具体如下：

1）轻微级别：按照现行有效的通用漏洞评分系统（CVSS）所定义的漏洞等级，明确申报医疗器械（含必备软件、外部软件环境，下同）已知漏洞总数和已知剩余漏洞数。

2）中等级别：提供网络安全漏洞自评报告，明确漏洞扫描所用软件工具、漏洞库（基于国家信息安全漏洞库或互认的国际信息安全漏洞库）的基本信息（如名称、完整版本、发布日期、供应商等），按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数，列明已知剩余漏洞的内容、对产品的影响及综合剩余风险，确保产品综合剩余风险均可接受。亦可补充网络安全评估机构出具的网络安全漏洞评估报告。

3）严重级别：提供网络安全漏洞自评报告、网络安全评估机构出具的网络安全漏洞评估报告，明确已知剩余漏洞的维护方案，确保产品综合剩余风险均可接受。

 

问：在医院内部署的医用软件是否需要进行网络安全风险分析？

答：根据《医疗器械网络安全注册审查指导原则（2022年修订版）》具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械）需提交相关网络安全资料。

 

问：申报产品包含USB接口，仅提供数据读取功能，是否需要提交网络安全研究资料？

答：根据《医疗器械网络安全注册审查指导原则（2022年修订版）》，可通过非网络接口的其他电子接口（如串口、并口、USB口、视频接口、音频接口，含调试接口、转接接口）或存储媒介（如光盘、移动硬盘、U盘）进行电子数据交换（包括单向、双向数据传输）的第二、三类含有软件组件的医疗器械，需要提交网络安全研究资料。

 

问：是否所有用户界面的软件都需要软件网络安全风险分析？哪些网络安全评估机构出具的网络安全漏洞评估报告能够被认可？

答：根据《医疗器械网络安全注册审查指导原则（2022年修订版）》具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械）需提交相关网络安全资料。具有相关资质的网络安全评估机构出具的网络安全漏洞评估报告可以被认可。

 

来源：上海器审

关键词： 医疗器械软件