日本一区二区高清不卡,欧美日韩一卡二卡,欧洲精品99毛片免费高清观看,性爽视频在线

附錄4網(wǎng)絡(luò)安全研究報告模板

 網(wǎng)絡(luò)安全研究報告

1基本信息

 1.1軟件信息

 1)軟件名稱:

 2)型號規(guī)格:

 3)發(fā)布版本:

 4)網(wǎng)絡(luò)安全的安全性級別:輕微、中等、嚴(yán)重(說明與軟件安全級別是否相同,如果低于軟件安全級別需要說明理由,理由闡述可以結(jié)合網(wǎng)絡(luò)安全的風(fēng)險分析)

 1.2數(shù)據(jù)架構(gòu)

 提供申報醫(yī)療器械在每個使用場景(含遠(yuǎn)程維護與升級,下同)下的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖,并依據(jù)圖示描述醫(yī)療器械相關(guān)數(shù)據(jù)和電子接口的基本情況。

 1.2.1網(wǎng)絡(luò)條件和數(shù)據(jù)流圖

 網(wǎng)絡(luò)條件:

 表5網(wǎng)絡(luò)條件描述

配置項

要求

網(wǎng)絡(luò)類型

服務(wù)端帶寬要求

 數(shù)據(jù)流圖:

 此處提供數(shù)據(jù)流圖

 表6數(shù)據(jù)流向說明

序號

數(shù)據(jù)流向說明

1

2

3

 1.2.2數(shù)據(jù)類型

 表7數(shù)據(jù)類型說明

序號

醫(yī)療器械相關(guān)數(shù)據(jù)的類型

內(nèi)容

1

□敏感醫(yī)療數(shù)據(jù)

1)具體內(nèi)容(□ 個人信息、□醫(yī)療活動信息、□設(shè)備運行信息)

2)功能( □單向、□雙向電子數(shù)據(jù)交換,□實時、非實時遠(yuǎn)程訪問與控制)

3)用途(□醫(yī)療活動、□設(shè)備維護)

2

□非敏感醫(yī)療數(shù)據(jù)

1)具體內(nèi)容(□ 個人信息、□醫(yī)療活動信息、□設(shè)備運行信息)

2)功能( □單向、□雙向電子數(shù)據(jù)交換,□實時、非實時遠(yuǎn)程訪問與控制)

3)用途(□醫(yī)療活動、□設(shè)備維護)

3

□設(shè)備數(shù)據(jù)

1)具體內(nèi)容(□ 個人信息、□醫(yī)療活動信息、□設(shè)備運行信息)

2)功能( □單向、□雙向電子數(shù)據(jù)交換,□實時、非實時遠(yuǎn)程訪問與控制)

3)用途(□醫(yī)療活動、□設(shè)備維護)

 注:敏感數(shù)據(jù)有個人信息的醫(yī)療數(shù)據(jù)指能夠單獨或與其他信息結(jié)合識別特定自然人個人身份的各種信息,如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息(含容貌信息)、住址、電話號碼等;設(shè)備數(shù)據(jù)指描述醫(yī)療器械運行狀況的數(shù)據(jù),用于監(jiān)視、控制醫(yī)療器械運行或用于醫(yī)療器械的維護維修,不應(yīng)含有個人信息。

 1.2.3電子接口

 表8電子接口描述信息

 1.3網(wǎng)絡(luò)安全能力

 逐項分析申報醫(yī)療器械對于該項網(wǎng)絡(luò)安全能力的適用性,詳述適用網(wǎng)絡(luò)安全能力的實現(xiàn)方法以及不適用理由。若適用,提供其他網(wǎng)絡(luò)安全能力的適用情況說明。

 1.4網(wǎng)絡(luò)安全補丁

 列明網(wǎng)絡(luò)安全補丁的基本情況(含必備軟件、外部軟件環(huán)境),明確網(wǎng)絡(luò)安全補丁的名稱、完整版本、發(fā)布日期。

 1.5安全軟件

 明確安全軟件的基本情況。描述申報醫(yī)療器械兼容或所用的安全軟件(如殺毒軟件、防火墻等)的名稱、型號規(guī)格、完整版本、供應(yīng)商、運行環(huán)境、防護規(guī)則配置要求。

       2.實現(xiàn)過程

 2.1風(fēng)險管理

 通常出具單獨的網(wǎng)絡(luò)安全風(fēng)險管理報告和風(fēng)險分析報告,如果沒有單獨的網(wǎng)絡(luò)安全風(fēng)險管理報告和風(fēng)險分析報告,需要注明網(wǎng)絡(luò)安全的情況。

 網(wǎng)絡(luò)安全風(fēng)險管理活動,主要包括識別資產(chǎn)、威脅、脆弱性:

 識別資產(chǎn)(Asset,對個人或組織有價值的物理和數(shù)字實體)

 威脅(Threat,可能導(dǎo)致對個人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因)

 脆弱性(Vulnerability,可能會被威脅所利用的資產(chǎn)或風(fēng)險控制措施的弱點)

 評估威脅和脆弱性對于醫(yī)療器械和患者的影響以及被利用的可能性;

 確定風(fēng)險水平并采取充分、有效、適宜的風(fēng)險控制措施;

 基于風(fēng)險接受準(zhǔn)則評估網(wǎng)絡(luò)安全綜合剩余風(fēng)險,保證網(wǎng)絡(luò)安全綜合剩余風(fēng)險均處于可接受水平。

 2.2需求規(guī)范

 提供申報醫(yī)療器械的網(wǎng)絡(luò)安全(含遠(yuǎn)程維護)需求規(guī)范文檔,如果沒有單獨的網(wǎng)絡(luò)安全需求,可提供軟件需求文檔,但需注明網(wǎng)絡(luò)安全情況。

 2.3驗證與確認(rèn)

 2.3.1網(wǎng)絡(luò)安全驗證

 提供申報醫(yī)療器械的網(wǎng)絡(luò)安全(含遠(yuǎn)程維護)測試計劃和報告。

 需在軟件驗證與確認(rèn)的框架下,結(jié)合產(chǎn)品網(wǎng)絡(luò)安全特性開展相關(guān)質(zhì)控工作,質(zhì)控方法:源代碼安全審核、威脅建模、漏洞掃描、滲透測試、模糊測試等。

 網(wǎng)絡(luò)安全能力要求可參考YY/T 1843-2022中的要求。

 2.3.2安全軟件兼容性驗證

 列出建議安裝的安全軟件用于防止本軟件受到潛在惡意軟件和病毒的攻擊,且與本軟件兼容的安全軟件。并提供兼容性測試報告。

 2.3.3標(biāo)準(zhǔn)傳輸協(xié)議的驗證

 對于標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式,若其滿足醫(yī)療器械網(wǎng)絡(luò)安全需求出具真實性聲明即可,反之提供相應(yīng)證明材料。

 2.3.4私有協(xié)議的驗證

 對于私有傳輸協(xié)議或存儲格式,提供完整性測試總結(jié)報告。

 1)私有協(xié)議涉及數(shù)據(jù)內(nèi)容:如文本、數(shù)字等;

 2)傳輸數(shù)據(jù)設(shè)計;

 3)數(shù)據(jù)生成完整性測試,應(yīng)對不同復(fù)雜度的數(shù)據(jù)進(jìn)行生成測試,并進(jìn)行多次生成測試(如涉及應(yīng)包括不同設(shè)備不同系統(tǒng)),確保多次生成數(shù)據(jù)的一致性:如涉及時間簽名等信息,進(jìn)行說明,并說明如何確保數(shù)據(jù)完整;

 4)數(shù)據(jù)讀取完整性測試,應(yīng)對不同復(fù)雜度的數(shù)據(jù)進(jìn)行讀取測試,對于同一份數(shù)據(jù)多次讀取結(jié)果一致(如涉及應(yīng)包括不同設(shè)備不同系統(tǒng));

 5)測試結(jié)論。

 2.4可追溯性分析

 提供申報醫(yī)療器械的網(wǎng)絡(luò)安全可追溯性分析報告,匯總列明網(wǎng)絡(luò)安全需求規(guī)范文檔、網(wǎng)絡(luò)安全設(shè)計規(guī)范文檔、源代碼(明確軟件單元名稱即可)、網(wǎng)絡(luò)安全測試報告、網(wǎng)絡(luò)安全風(fēng)險分析報告之間的對應(yīng)關(guān)系。亦可提供醫(yī)療器械軟件的可追溯性報告,但需注明網(wǎng)絡(luò)安全情況。

 2.5維護計劃

 提供申報醫(yī)療器械網(wǎng)絡(luò)安全更新的流程圖,并結(jié)合質(zhì)量體系的要求依據(jù)圖示描述相關(guān)活動。

 如涉及遠(yuǎn)程維護,需提供遠(yuǎn)程維護流程圖,并結(jié)合體系要求描述相關(guān)活動。

 提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的流程圖,并依據(jù)圖示描述相關(guān)活動;或者提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案文檔。

3.漏洞評估

 對于網(wǎng)絡(luò)安全級別為中等的產(chǎn)品,可提供網(wǎng)絡(luò)安全漏洞自評報告或者網(wǎng)絡(luò)安全評估機構(gòu)出具的網(wǎng)絡(luò)安全漏洞評估報告,明確已知剩余漏洞的維護方案。

 網(wǎng)絡(luò)安全漏洞評估報告需包括:掃描所用軟件工具、漏洞庫(基于國家信息安全漏洞庫或互認(rèn)的國際信息安全漏洞庫)的基本信息(如名稱、完整版本、發(fā)布日期、供應(yīng)商等),按照漏洞等級明確已知漏洞總數(shù)和剩余漏洞總數(shù),列明已知剩余漏洞的內(nèi)容、對產(chǎn)品的影響及綜合剩余風(fēng)險,確保產(chǎn)品綜合剩余風(fēng)險均可接受。

 如產(chǎn)品的網(wǎng)絡(luò)類型為廣域網(wǎng),應(yīng)提供滲透測試的報告。

4.總結(jié)

 概述申報醫(yī)療器械的網(wǎng)絡(luò)安全實現(xiàn)過程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評估結(jié)果,判定申報醫(yī)療器械的網(wǎng)絡(luò)安全是否滿足要求,受益是否大于風(fēng)險。

5.附件

 提供以附件形式提供的文件列表。