DB32 T 3769-2020 医疗器械网络信息安全基本要求.pdf
《DB32 T 3769-2020 医疗器械网络信息安全基本要求.pdf》由会员分享,可在线阅读,更多相关《DB32 T 3769-2020 医疗器械网络信息安全基本要求.pdf(11页珍藏版)》请在麦多课文档分享上搜索。
1、 ICS 35.240.99 R 10 DB32 江苏省 地 方 标 准 DB32/T 3769 2020 医疗器械网络 信息安全 基本要求 Basic requirements of information security of medical devices 2020-04-08 发布 2020-05-15 实施 江苏省市场监督管理局 发布 DB32/T 3769-2020 I 目 次 目 次 . I 前 言 . II 1 范围 . 3 2 规范性引用文件 . 3 3 术语和定义 . 3 4 日志审计 . 5 5 授权访问管理 . 6 6 非授权访问管理 . 7 7 数据安全保护 . 7
2、 8 随附文件对用户管理产品信息安全说明的要求 . 7 9 产品设计文档 . 8 附录 A . 9 参考文献 . 10 DB32/T 3769-2020 II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由 江苏省药品监督管理局 提出并归口。 本标准起草单位:江苏省医疗器械检验所、南京凌凯威软件有限公司。 本标准起草人员: 刘茹、张宜川、 耿恺频 、 刘颖、 丁楠、 鲍远兵 、胡济民、李宁、 张超 、 蒲璐 。 DB32/T 3769-2020 3 医疗器械网络信息安全基本要求 1 范围 本标准规定了 医疗器械 网络 信息安全的基本 要求。 本标准 适用于具有网络连接
3、功能以进行电子数据交换或远程控制的 医疗器械 产品 , 其中网络包括无 线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。 也 适用 于采 用存储媒介以进行电子数据交换 的医疗器械 产品,其中存储媒介包括但不限于光盘、移动硬盘和 U盘 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25000.10-2016 系统与软件工程 系统与软件质量要求和评价( SQuaRE)第 10部分:系统与 软件质量模型 GB/T 2500
4、0.51-2016 系统与软件工程 系统与软件质量要求和评价( SQuaRE)第 51部分:就绪 可 用软件产品( RUSP)的质量要求和测试细则 GB/T 25069-2010 信息安全技术 术语 GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇 GB/T 35273-2017 信息安全技术个人信息安全规范 YY/T 0316-2016 医疗器械 风险管理对医疗器械的应用 3 术语和定义 3.1 接口 electronic interface 就本标准而言, 接口是 指 系统之间相互作用和 /或相互通信的媒介,从而允许系统之间进行信息交 换。它包括连接 类型 (
5、如 USB端口、无线连接 )和信息内容。它是医疗设备与其他设备或其他医疗设备 之 间 交换和使用信息的媒介 。 3.2 产品敏感 信息 product sensitive information 产品敏感数据是指 可以影响产品 信息 安全 的 任何重要 数据 。 注:包括 但 不限于密码、密钥、随机数生成器的种子、身份验证数据、设备控制信息等。 3.3 访问权限 access permission 访问权限,是根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些 控制的机制。 DB32/T 3769-2020 4 3.4 随附文件 accompanying documen
6、ts 随同医疗器械的,为医疗器械安装、使用和维护的责任方提供信息以及为操作者或使用者提供信息, 特别是关于安全信息的文件 YY/T 0316-2016,定义 2.1 3.5 制造商 manufacturer 在上市和 /或投入服务前。对医疗器械的设计、制造、包装或作标记、系统的装配或者改装医疗器 械负有责任地自然人或法人,不管上述工作是由他自己或由第三方代其完成。 YY/T 0316-2016,定义 2.8 3.6 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人
7、信息。 注:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、 征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、 14 岁以下(含)儿童的个人信息等。 GB/T 35273-2017,定义 3.2 3.7 访问控制 access control 一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。 GB/T 25069-2010,定义 2.2.1.42 3.8 完整性 integrity 准确和完 备 的特性 。 GB/T 29246-2017, 定义 2.40 3.9 真实性 authenticity 确保主体或资源的身份正是所声称的特
8、性。真实性适用于用户、进程、系统和信息之类的实体。 GB/T 25069-2010,定义 2.1.69 3.10 抗抵赖 non-repudiation 证明某一动作或事件已经发生的能力, 以使事后不能否认这一动作或事件。 GB/T 25069-2010,定义 2.1.17 3.11 可核查性 accountability 确保可将一个实体的行动唯一地追踪到此实体的特性。 GB/T 25069-2010,定义 2.1.18 DB32/T 3769-2020 5 3.12 保密性 confidentiality 信息 对 未授权的个人、实体 或过 程 不可用 或 不泄露 的特性。 GB/T 29
9、246-2017, 定义 2.12 3.13 可得性 已授权实体一旦需要就可访问和使用的数据和资源的特性。 注:改写自 GB/T 25069-2010, 定义 2.1.20可用性 3.14 信息 安全 information security 对信息 的保密性、完整性、 和 可得性 的保持 。 注:另外,也可包括诸如真实性、可核查性、抗抵赖等其他特性。 GB/T 29246-2017, 定义 2.33 3.15 去标识化 de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。 注:去标识化建立在个体基础之上,保留了个体颗粒度,采
10、用假名、加密、哈希函数等技术手段替 代对个人信息的标识。 GB/T 35273-2017,定义 3.14 3.16 最小特定权限 minimum privilege 主体的访问权限的最低限度,即仅执行授权活动所必需的那些权利。 GB/T 25069-2010,定义 2.2.1.142 4 日志审计 4.1 医疗器械 应 具有 信息 安全 日志 记录 功能 。 4.2 医疗器械 信息 安全 日志中应包含 充分信息 , 达到 可核查性 和 抗抵赖性 要求 。 4.3 医疗器械 应将与 信息 安全 相关的日志存储在非易失性存储器中,且不允许非 授 权 用户删除或更改 它们 。 通过触发信息安全相关事
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB32 3769-2020 医疗器械网络信息安全基本要求 3769 2020 医疗器械 网络 信息 安全 基本要求
