医疗器械网络安全研究技术指导原则（试行）.docxVIP

医疗器械网络安全研究技术指导原则（试行）

一、适用范围

本指导原则用于指导具备网络连接能力的医疗器械（含带网络功能的体外诊断试剂、独立医用软件）开展全生命周期网络安全研究，规范研究过程，明确研究要求，为注册申报、监管核查提供技术依据，适用于联网医疗器械产品的设计开发、生产制造、上市后全流程网络安全研究与评价。涉及国家秘密的医疗器械网络安全管理，按照国家保密相关规定执行，不适用本指导原则。

二、术语与定义

1.医疗器械网络安全：指通过技术、管理措施，保障医疗器械相关硬件、软件、数据的保密性、完整性、可用性，防范非授权访问、修改、破坏、泄露，避免网络安全事件对患者健康造成危害的过程。

2.联网医疗器械：指具备有线或无线通信接口，可与公共网络、医疗机构内网、其他信息系统、移动终端等外部设备/网络实现数据交互的医疗器械。

3.软件物料清单（SBOM）：指记录医疗器械产品中包含的所有软件组件（含自研软件、第三方商业软件、开源软件、固件、操作系统等）的清单，包含组件名称、版本、供应商、许可证、已知漏洞等信息。

4.网络安全漏洞：指医疗器械软硬件设计、实现、配置、运行过程中存在的可被威胁源利用的缺陷，可导致非授权访问、数据篡改、功能异常等危害。

5.纵深防御：指通过多层级、多维度的安全控制措施，构建冗余防护体系，避免单一防护措施失效导致整体安全被攻破的防护理念。

三、基本原则

1.全生命周期保障