人工智能医疗器械创新合作平台发布医疗器械网络安全漏洞识别与评估方法

本文稿描述了医疗器械网络安全漏洞识别与评估的过程，为医疗器械注册申请人和第三方评估机构提供了医疗器械网络安全漏洞评估的方法指南。

当前，医疗器械与网络技术的融合日益紧密，医疗器械上的健康数据及其他信息进行电子交换的频率越来越高。网络技术在提升医疗器械产品功能、扩大产品应用范围方面起到的巨大的作用，同时也使医疗器械面临着来自网络安全方面的威胁，产品因安全漏洞、数据泄露和恶意攻击等引发的网络安全问题愈发严峻。因此，医疗器械必须加强网络安全控制，以确保其安全性和有效性。 

人工智能医疗器械创新合作平台组织国内多家医疗器械企业，根据医疗器械网络安全特点和应用情况，共同编制了《医疗器械网络安全漏洞识别与评估方法》，为相关企业单位进行医疗器械网络安全漏洞评估提供规范性的指导，以推动医疗器械网络安全的发展。三项成果经平台管理委员会2022年第二次会议立项，2023年第二次会议审议通过，2023年第一季度已完成征求意见稿讨论，并向平台各单位征求意见，2023年三季度通过标准文稿。

中国信息通信研究院、推想医疗科技股份有限公司、上海西门子医疗器械有限公司、北京谊安医疗系统股份有限公司、北京天智航医疗科技股份有限公司

本文稿对漏洞扫描评估过程进行了描述，进而分析评估的范围，制定漏洞扫描的策略。根据被评估医疗器械产品的不同网络安全结构特性，本方法将扫描策略重点分作三类，分别是基于网络部署的扫描、基于主机部署的扫描以及嵌入式软件的扫描。

文稿中还对漏洞扫描结束后的结果评估做出了说明，包括本次漏洞扫描的概况、漏洞的分布、漏洞的详情、被测产品的相关信息、CVSS评分标准、漏洞扫描工具的相关信息等，记录检测过程中的信息，对扫描检测的结果进行描述。

后续将持续加强企业间的信息交流与技术协作，进一步推动相关标准的落地应用，对相关产品的研发上市等提供技术支撑。