醫療器械軟體安全性級別判定

2021-10-01 14:21:10 字數 1207 閱讀 1559

根據《醫療器械軟體註冊技術審查指導原則》的要求,對於含軟體的醫療器械,均應在註冊時提交《軟體描述文件》。而軟體描述文件的詳略程度,直接由軟體的安全性級別和複雜程度來決定。因此,確定在編制乙個醫療器械軟體的描述文件時,首先要確定的就是該軟體的安全性級別。

根據yy/t 0664《醫療器械軟體軟體生存週期過程》的要求,製造商應按照軟體系統引起的危害對於患者、操作者或者其他人員的可能影響,賦予每個軟體系統乙個軟體安全性級別(a、b或c)。

基於如下的嚴重度,應初步賦予軟體相應安全性級別:

a級:不可能對健康有傷害和損壞;

b級:可能有不嚴重的傷害;

c級:可能死亡或嚴重傷害。

那麼,應該如何來確定乙個具體的產品的安全性級別呢?       

(1)按產品預期用途、使用環境和核心功能進行判定。

預期用途主要考慮軟體的臨床用途(如診斷、**、監護、篩查等)和重要程度(如重要作用、輔助作用、補充作用等),使用環境主要考慮軟體的使用場所(如醫院、家庭等)、疾病型別(如嚴重性、緊迫性、傳染性等)、患者人群(如**、兒童、老年、女性等)和使用者型別(如專業使用者、普通使用者、患者等),核心功能主要考慮軟體的功能型別(如控制驅動、處理分析等)、實現方法(如ct影象重建採用濾波反投影演算法還是迭代演算法,異常識別採用常規影象處理演算法還是人工智慧演算法等)和複雜程度(如演算法規模、引數數量、運算速度等)。

(2)按風險管理所確定的風險等級進行判定

對每個軟體系統,在賦予安全性級別以前。均應應用c級要求。應假定可能引起軟體系統未能像規定的那樣起作用的失效的概率為100%。

如果軟體失效可以引起死亡或嚴重傷害的風險,隨後由製造商結合質量管理體系要求,建立與軟體安全性級別相匹配的軟體生存週期過程,包括軟體開發過程、軟體維護過程、配置管理過程、風險管理過程和問題解決過程。同時,製造商可採用良好軟體工程實踐完善質量管理體系要求,保證軟體質量。另外,製造商應保證軟體自身的資訊保安,確保健康資料的保密性、完整性和可得性。由以上風險控制措施將風險降低到可接受水平(如yy/t0316所規定),或者降低軟體失效後果或者降低由失效引起的死亡或嚴重**的概率,軟體安全性級別可從c級降低到b級;如果軟體失效引起的非嚴重傷害風險同樣通過上述風險控制措施降低到可接受水平,軟體安全性級別可從b級降低到a。

由上述可知,對於軟體的安全性級別,沒有乙個硬性的規定。企業(製造商)應根據自身的情況,包含產品的預期用途、使用環境和核心功能以及企業對風險的識別和控制水平來決定。也就是說對於同樣的產品,在不同的企業中可能也會對應不同的安全性級別,因為其控制風險的能力有所不同。

軟體安全性測試

1 產品安全是指產品在系統的所有者或管理員的控制下,保護使用者資訊的保密性 完整性 可獲得性,以及處理資源的完整性和可獲得性。安全漏洞是指使產品不可行的缺陷 即使是正確地使用產品時 來防止攻擊者被竊取系統的使用者許可權 調節操作 破壞資料,或建立未授權的信任。2 黑客獲得訪問許可權的動機 3 測試安...

軟體測試技術 安全性測試

安全性測試是一項迫切需要進行的測試,測試人員需要像黑客一樣攻擊軟體系統,找到軟體系統包含的安全漏洞。1 網頁安全漏洞檢測 一些設計不當的 系統可能包含很多可以被利用的安全漏洞,這些安全漏洞如同給遠端攻擊者開了乙個後門,讓攻擊者可以方便地進行某些惡意的攻擊。例如,公共漏洞和披露 cve commonv...

PowerBI實現行級別安全性 RLS

microsoft power bi 允許將報表和工作區共享到 active directory 使用者和組,從而幫助保護報表和工作區。你還可以共享單個報表,但根據使用者的工作角色使使用者看到不同的資料。假設企業有銷售情況 員工資訊 產品列表等3個表。你想要建立乙個報表,其中特定部門的員工只能看到該...