CH3.5.5.11自研软件网络安全研究报告.docVIP

XXXXXXXX有限公司

XXXXXXXXX系统(型号：)

CH1自研软件网络安全研究报告

2022年10月15日

前言

本文件是根据NMPA医疗器械评估中心(CMDE)发布的《医疗器械网络安全指南NMPA注

册技术审查》(第2版)的要求编写的。

Contents

1BasicInformation基本信息 3

1.1Softwareinformation 错误!未定义书签。

1.2Dataarchitecture数据架构 3

1.3Cybersecuritycapabilities 错误!未定义书签。

1.4Cybersecuritypatch网络安全补丁 7

1.5Securitysoftware安全软件 7

2Realizationprocess实现过程 8

2.1Riskmanagement风险管理 8

2.2Requirementspecification需求规范 8

2.3Verificationandvalidation验证与确认 8

2.4Traceabilityanalysis可追溯性分析 9

2.5Update/Maintenanceplan更新维护计划 9

3Vulnerabilityassessment漏洞评估 9

4Conclusion结论 10

1BasicInformation基本信息

提示：Notexthere

1.1软件信息

NMPA要求：

明确申报医疗器械软件的名称、型号和规格、发行版本和软件安全等级。

网络安全安全等级低于软件安全等级的，应当详细说明理由，并根据网络安全等级提交相应的注册申报资料。

提示：完成下列表格

项目

描述

软件名称

提示：需遵循NMPA命名规则

型号规格

提示：对于SiMD,要么:1)在我们的DHF中使用软件的标识符；或2)使用整个系统的名称。

发布版本

提示：发布版本而非完整版本

网络安全级别

提示：默认情况下，网络安全类别与软件安全等级相同。NMPA允许提供合理理由声称网络安全等级低于软件安全等级。

1.2数据架构

提示：Notexthere

1.2.1使用场景

NMPA要求：

提供申报医疗器械在每个使用场景(包括远程维护和升级)中的网络环境和数据流程图，并根据图描述医疗器械相关数据和电子接口的基本情况。

1.2.2网络环境和数据流图

提示：

网络环境示例图：

PublcFaongWebandEaranetApplcaicns

CoporateDtaSlore

CorporateNetwork

数据流图示例图：

Initializedriver

Initializedriver

anddevice,

managehardware,

unloaddriver

Phyaical

manipulation

是

Device

Userprocess

Resultsofl/Orequest

Device_request

Handle/O

PublicIOCTLs

andl/Orequests

DriverBoundary

Adminrequests

Status

InternalIOCTLsandl/Orequests

Resultsofl/Orequest

Devicedatastore

Requestedl/O

Operating

system

Device

response

Operationalfeedback

Servicedevice

Devicerequest

Devicerequest

requests

response

Device

Status

User

1.2.3数据情况

NMPA要求

明确医疗器械相关的数据类型(敏感和非敏感医疗数据，设备数据),并依据数据类型明确每类数据的具体内容(例如，个人信息，医疗活动信息，设备运行信息),功能(例如，单向和双向电子数据交换，实时和非实时远程访问和控制)和用途(例如，医疗活动，设备维护)。

提示：

Filloutthefollowingtableaccordingtothediagramsabove

Type

类型