在數字經濟浪潮與數據安全法規交織的當下，互聯網企業的信息安全合規能力已成為生存發展的“必答題”。9月，國內領先的數字化咨詢服務機構安信達與全球知名互聯網企業迅雷網絡正式宣布啟動新一輪戰略合作——這是繼2022年首次合作后，雙方基于對“合規創造價值”的深度共識，再度攜手為迅雷網絡構建更完善的信息安全體系，助力其在云計算、區塊鏈、泛娛樂等多元業務中筑牢安全屏障。

?從“合規剛需”到“戰略資產”：迅雷的安全進階之路?

作為擁有超5億用戶基礎的互聯網企業，迅雷的業務生態覆蓋下載加速、云存儲、區塊鏈節點服務及內容分發等場景，每天產生的用戶行為數據、文件傳輸數據、設備交互數據規模龐大，且涉及跨境數據流動、第三方合作方數據共享等復雜場景。《數據安全法》《個人信息保護法》等法規的落地，以及用戶對隱私保護的高敏感度，讓迅雷的信息安全合規需求從“滿足監管”升級為“驅動業務”。

“過去兩年，我們與安信達合作完成了基礎合規框架搭建，但隨著業務向Web3.0、AI算力服務等新興領域延伸，新的安全挑戰不斷涌現。”迅雷網絡CTO坦言，“此次再度攜手，正是希望安信達能幫助我們將合規能力深度融入業務全流程，讓安全從‘成本項’變為‘競爭力’。”

?定制化服務：從“診斷”到“賦能”的全周期陪伴?

針對迅雷業務的復雜性與前沿性，安信達組建了包含網絡安全專家、數據合規顧問、行業分析師的專項團隊，圍繞“信息安全體系建設”核心目標，推出“診斷-建設-賦能”三階段服務：

?第一階段：精準診斷，錨定風險痛點。團隊通過“數據地圖繪制”“業務流程穿透式分析”等方法，全面梳理迅雷用戶數據從收集、存儲到共享、銷毀的全鏈路，重點排查了“第三方合作數據權限邊界模糊”“跨境數據傳輸合規性不足”“云存儲系統訪問控制冗余”等8項高風險點，并結合《數據出境安全評估辦法》《個人信息保護認證規范》等法規，為迅雷定制了“業務場景-合規要求-技術落地”的映射清單。

?第二階段：體系重構，打通制度與技術。在制度建設層面，協助迅雷修訂《信息安全管理手冊》《個人信息處理規范》等12項核心制度，明確“技術部門負責系統防護、法務部門把控合規邊界、業務部門落實操作規范”的權責分工；在技術落地層面，針對“用戶敏感信息脫敏”“加密傳輸鏈路優化”“訪問權限動態管控”等關鍵環節，提出“聯邦學習技術應用”“區塊鏈存證增強”等可行性方案，并與迅雷現有的DDoS防護、WAF防火墻等系統深度集成，確保合規要求“可感知、可執行”。

?第三階段：全員賦能，培育合規文化。考慮到信息安全需“人人參與”，安信達為迅雷設計了分層培訓體系：管理層聚焦“合規戰略與企業長期價值”，通過行業案例（如某互聯網企業因數據泄露導致的品牌損失）理解合規的戰略意義；技術團隊開展“數據安全技術實操”工作坊，演練“漏洞掃描”“應急響應”等核心技能；一線員工則通過“情景模擬+趣味問答”（如模擬“用戶信息誤泄露”的處置流程），將“最小必要原則”“數據分類分級”等要求轉化為日常操作習慣。

?從“合規達標”到“創新加速”：合作的深層價值?

經過近三個月的深度協同，迅雷的信息安全體系建設已初見成效：關鍵業務場景的數據泄露風險降低35%，第三方合作合規率從78%提升至91%，用戶關于“隱私保護”的投訴量同比下降40%。更重要的是，合規能力的提升為迅雷的創新業務（如AI算力交易平臺、區塊鏈存儲服務）提供了“安全背書”——某國際云服務商在合作洽談中明確表示：“你們的合規體系讓我們看到了長期合作的可靠性。”

“信息安全不是‘發展的枷鎖’，而是‘創新的基石’。”迅雷網絡CEO表示，“安信達不僅幫我們解決了當下的合規痛點，更教會了我們如何用安全思維驅動業務設計。未來，雙方將在AI隱私計算、區塊鏈數據安全等新興領域持續探索，為數字經濟的安全發展輸出‘迅雷-安信達樣本’。”

在數字經濟與實體經濟深度融合的今天，信息安全合規已成為企業穿越周期的“安全繩”。安信達與迅雷的再度攜手，不僅是一次服務的延續，更是互聯網企業對“合規即競爭力”的集體覺醒。隨著合作的深入，雙方有望為行業樹立更多可復制的標桿，讓安全真正成為數字經濟發展的“護航引擎”。

The post 安信達咨詢再次攜手迅雷網絡，助力迅雷網絡信息安全合規發展 first appeared on 信息安全咨詢公司.

信息安全咨詢公司

信息安全技術 信息安全事件分類分級指南
1 范圍
本指導性技術文件為信息安全事件的分類分級提供指導，用于信息安全事件的防范與處置，為事前準備、事中應對、事后處理提供一個基礎指南，可供信息系統和基礎信息傳輸網絡的運營和使用單位以及信息安全主管部門參考使用。

2 術語和定義
下列術語和定義適用于本指導性技術文件。

2.1 信息系統 information system
由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進 行采集、加工、存儲、傳輸、檢索等處理的人機系統。

2.2 信息安全事件 information security incident
由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或對社會造成負面影 響的事件。

3 縮略語
下列縮略語適用于本指導性技術文件。
MI：有害程序事件（Malware Incidents）
CVI：計算機病毒事件（Computer Virus Incidents）
WI：蠕蟲事件（Worms Incidents）
THI：特洛伊木馬事件（Trojan Horses Incidents）
BI：僵尸網絡事件（Botnets Incidents）
BAI：混合攻擊程序事件（Blended Attacks Incidents）
WBPI：網頁內嵌惡意代碼事件（Web Browser Plug-Ins Incidents）
NAI：網絡攻擊事件（Network Attacks Incidents）
DOSAI：拒絕服務攻擊事件（Denial of Service Attacks Incidents）
BDAI：后門攻擊事件（Backdoor Attacks Incidents）
VAI：漏洞攻擊事件（Vulnerability Attacks Incidents）
NSEI：網絡掃描竊聽事件（Network Scan & Eavesdropping Incidents）
PI：網絡釣魚事件（Phishing Incidents）
II：干擾事件（Interference Incidents）
IDI：信息破壞事件（Information Destroy Incidents）
IAI：信息篡改事件（Information Alteration Incidents）
IMI：信息假冒事件（Information Masquerading Incidents）
ILEI：信息泄漏事件（Information Leakage Incidents）
III：信息竊取事件（Information Interception Incidents）
ILOI：信息丟失事件（Information Loss Incidents）
ICSI：信息內容安全事件（Information Content Security Incidents）
FF：設備設施故障（Facilities Faults）
SHF：軟硬件自身故障（Software and Hardware Faults）
PSFF：外圍保障設施故障（Periphery Safeguarding Facilities Faults）
MDA：人為破壞事故（Man-made Destroy Accidents）
DI：災害性事件（Disaster Incidents）
OI：其他事件（Other Incidents）

4 信息安全事件分類

4.1 考慮要素與基本分類
信息安全事件可以是故意、過失或非人為原因引起的。
本指導性技術文件綜合考慮信息安全事件的 起因、表現、結果等，對信息安全事件進行分類。
信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故 障、災害性事件和其他信息安全事件等7個基本分類，每個基本分類分別包括若干個子類。

4.2 事件分類

4.2.1 有害程序事件（MI）
有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。
有害程序是指插入到信息系統中的一段程序，有害程序危害系統中數據、應用程序或操作系統的保密性、 完整性或可用性，或影響信息系統的正常運行。
有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事 件、網頁內嵌惡意代碼事件和其它有害程序事件等7個子類，說明如下：

a) 計算機病毒事件（CVI）
是指蓄意制造、傳播計算機病毒，或是因受到計算機病毒影響而導致 的信息安全事件。計算機病毒是指編制或者在計算機程序中插入的一組計算機指令或者程序代 碼，它可以破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制；

b) 蠕蟲事件（WI）
是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導致的信息安全事件。蠕 蟲是指除計算機病毒以外，利用信息系統缺陷，通過網絡自動復制并傳播的有害程序；

c) 特洛伊木馬事件（THI）
是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影 響而導致的信息安全事件。特洛伊木馬程序是指偽裝在信息系統中的一種有害程序，具有控制 該信息系統或進行信息竊取等對該信息系統有害的功能；

d) 僵尸網絡事件（BI）
是指利用僵尸工具軟件，形成僵尸網絡而導致的信息安全事件。僵尸網絡 是指網絡上受到黑客集中控制的一群計算機，它可以被用于伺機發起網絡攻擊，進行信息竊取 或傳播木馬、蠕蟲等其他有害程序；

e) 混合攻擊程序事件（BAI）
是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響 而導致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結果，例如一個計算機病毒或蠕蟲在侵入系統后安裝木馬程序等；

f) 網頁內嵌惡意代碼事件（WBPI）
是指蓄意制造、傳播網頁內嵌惡意代碼，或是因受到網頁內 嵌惡意代碼影響而導致的信息安全事件。網頁內嵌惡意代碼是指內嵌在網頁中，未經允許由瀏 覽器執行，影響信息系統正常運行的有害程序；

g) 其它有害程序事件（OMI）
是指不能包含在以上6個子類之中的有害程序事件。

4.2.2 網絡攻擊事件（NAI）
網絡攻擊事件是指通過網絡或其他技術手段，利用信息系統的配置缺陷、協議缺陷、程序缺陷或使 用暴力攻擊對信息系統實施攻擊，并造成信息系統異常或對信息系統當前運行造成潛在危害的信息安全事件。
網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣 魚事件、干擾事件和其他網絡攻擊事件等7個子類，說明如下：

a) 拒絕服務攻擊事件（DOSAI）
是指利用信息系統缺陷、或通過暴力攻擊的手段，以大量消耗 信息系統的CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統正常運行為目的的 信息安全事件；

b) 后門攻擊事件（BDAI）
是指利用軟件系統、硬件系統設計過程中留下的后門或有害程序所設 置的后門而對信息系統實施的攻擊的信息安全事件；

c) 漏洞攻擊事件（VAI）
是指除拒絕服務攻擊事件和后門攻擊事件之外，利用信息系統配置缺陷、 協議缺陷、程序缺陷等漏洞，對信息系統實施攻擊的信息安全事件；

d) 網絡掃描竊聽事件（NSEI）
是指利用網絡掃描或竊聽軟件，獲取信息系統網絡配置、端口、 服務、存在的脆弱性等特征而導致的信息安全事件；

e) 網絡釣魚事件（PI）
是指利用欺騙性的計算機網絡技術，使用戶泄漏重要信息而導致的信息安 全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號密碼等；

f) 干擾事件（II）
是指通過技術手段對網絡進行干擾，或對廣播電視有線或無線傳輸網絡進行插 播，對衛星廣播電視信號非法攻擊等導致的信息安全事件；

g) 其他網絡攻擊事件（ONAI）
是指不能被包含在以上6個子類之中的網絡攻擊事件。

4.2.3 信息破壞事件（IDI）
信息破壞事件是指通過網絡或其他技術手段，造成信息系統中的信息被篡改、假冒、泄漏、竊取等 而導致的信息安全事件。
信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和 其它信息破壞事件等6個子類，說明如下：

a) 信息篡改事件（IAI）
是指未經授權將信息系統中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網頁篡改等導致的信息安全事件；

b) 信息假冒事件（IMI）
是指通過假冒他人信息系統收發信息而導致的信息安全事件，例如網頁假冒等導致的信息安全事件；

c) 信息泄漏事件（ILEI）
是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系統中的保密、 敏感、個人隱私等信息暴露于未經授權者而導致的信息安全事件；

d) 信息竊取事件（III）
是指未經授權用戶利用可能的技術手段惡意主動獲取信息系統中信息而導致的信息安全事件；

e) 信息丟失事件（ILOI）
是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統中的信息丟失而導致的信息安全事件；

f) 其它信息破壞事件（OIDI）
是指不能被包含在以上5個子類之中的信息破壞事件。

4.2.4 信息內容安全事件（ICSI）
信息內容安全事件是指利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益的內容的安全事件。
信息內容安全事件包括以下4個子類，說明如下：

a) 違反憲法和法律、行政法規的信息安全事件；

b) 針對社會事項進行討論、評論形成網上敏感的輿論熱點，出現一定規模炒作的信息安全事件；

c) 組織串連、煽動集會游行的信息安全事件；

d) 其他信息內容安全事件等4個子類。

4.2.5 設備設施故障（FF）
設備設施故障是指由于信息系統自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統破壞而導致的信息安全事件。
設備設施故障包括軟硬件自身故障、外圍保障設施故障、人為破壞事故、和其它設備設施故障等4 個子類，說明如下：

a) 軟硬件自身故障（SHF）
是指因信息系統中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環境發生變化等而導致的信息安全事件；

b) 外圍保障設施故障（PSFF）
是指由于保障信息系統正常運行所必須的外部設施出現故障而導致的信息安全事件，例如電力故障、外圍網絡故障等導致的信息安全事件；

c) 人為破壞事故（MDA）
是指人為蓄意的對保障信息系統正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統硬件、軟件等遭到破壞，影響信息系統正常運行的信息安全事件；

d) 其它設備設施故障（IF-OT）
是指不能被包含在以上3個子類之中的設備設施故障而導致的信息安全事件。

4.2.6 災害性事件（DI）
災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的信息安全事件。
災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰爭等導致的信息安全事件。

4.2.7 其他事件（OI）
其他事件類別是指不能歸為以上6個基本分類的信息安全事件。

5 信息安全事件分級

5.1 分級考慮要素

5.1.1 概述
對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。

5.1.2 信息系統的重要程度
信息系統的重要程度主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為特別重要信息系統、重要信息系統和一般信息系統。

5.1.3 系統損失
系統損失是指由于信息安全事件對信息系統的軟硬件、功能及數據的破壞，導致系統業務中斷，從而給事發組織所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失，說明如下：

a) 特別嚴重的系統損失：造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發組織是不可承受的；

b) 嚴重的系統損失：造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統 關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所 需付出的代價巨大，但對于事發組織是可承受的；

c) 較大的系統損失：造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處 理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和 消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；

d) 較小的系統損失：造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統 重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。

5.1.4 社會影響
社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經濟建設和公眾利益等方面的影響，劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響，說明如下：

a) 特別重大的社會影響：波及到一個或多個省市的大部分地區，極大威脅國家安全，引起社會動 蕩，對經濟建設有極其惡劣的負面影響，或者嚴重損害公眾利益；

b) 重大的社會影響：波及到一個或多個地市的大部分地區，威脅到國家安全，引起社會恐慌，對 經濟建設有重大的負面影響，或者損害到公眾利益；

c) 較大的社會影響：波及到一個或多個地市的部分地區，可能影響到國家安全，擾亂社會秩序， 對經濟建設有一定的負面影響，或者影響到公眾利益；

d) 一般的社會影響：波及到一個地市的部分地區，對國家安全、社會秩序、經濟建設和公眾利益 基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。

5.2 事件分級

5.2.1 概述
根據信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、 較大事件和一般事件。

5.2.2 特別重大事件（Ⅰ級）
特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統遭受特別嚴重的系統損失；

b) 產生特別重大的社會影響。

5.2.3 重大事件（Ⅱ級）
重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統遭受嚴重的系統損失、或使重要信息系統遭受特別嚴重的系統損失；

b) 產生的重大的社會影響。

5.2.4 較大事件（Ⅲ級）
較大事件是指能夠導致較嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統遭受較大的系統損失、或使重要信息系統遭受嚴重的系統損失、一般信息信息系統遭受特別嚴重的系統損失；

b) 產生較大的社會影響。

5.2.5 一般事件（Ⅳ級）
一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

a) 會使特別重要信息系統遭受較小的系統損失、或使重要信息系統遭受較大的系統損失，一般信 息系統遭受嚴重或嚴重以下級別的系統損失；

b) 產生一般的社會影響。

The post 信息安全事件怎樣分類分級 first appeared on 信息安全咨詢公司.

國市監認證規〔2023〕3號

各省、自治區、直轄市和新疆生產建設兵團市場監管局（廳、委）、黨委網信辦、工業和信息化主管部門、公安廳（局），各省、自治區、直轄市通信管理局，各有關單位：

為推進網絡安全服務認證體系建設，提升網絡安全服務機構能力水平和服務質量，根據《網絡安全法》《認證認可條例》，市場監管總局、中央網信辦、工業和信息化部、公安部就開展國家統一推行的網絡安全服務認證工作提出以下意見。

一、網絡安全服務認證工作堅持“統一管理、共同實施、統一標準、規范有序”的基本原則。市場監管總局、中央網信辦、工業和信息化部、公安部根據職責，加強認證工作的組織實施和監督管理，鼓勵網絡運營者等廣泛采信網絡安全服務認證結果，促進網絡安全服務產業健康有序發展。

二、網絡安全服務認證目錄由市場監管總局會同中央網信辦、工業和信息化部、公安部根據市場需求和產業發展狀況確定并適時調整，現階段包括檢測評估、安全運維、安全咨詢和等級保護測評等服務類別。認證規則和認證標志由市場監管總局征求中央網信辦、工業和信息化部、公安部意見后另行制定發布。

三、市場監管總局、中央網信辦、工業和信息化部、公安部聯合組建由政府部門、科研機構、認證機構、標準化機構、網絡安全服務機構和用戶等相關方參與的網絡安全服務認證技術委員會，協調解決認證體系建設和實施過程中出現的技術問題，研究提出認證目錄、認證規則編寫修訂工作建議等。

四、從事網絡安全服務認證活動的認證機構應當依法設立，符合《認證認可條例》《認證機構管理辦法》規定的基本條件，具備從事網絡安全服務認證活動的專業能力，并經市場監管總局根據各部門職責征求中央網信辦、工業和信息化部、公安部意見后批準取得資質。

五、網絡安全服務認證機構應當根據認證委托人提出的認證委托，按照網絡安全服務認證基本規范、認證規則開展認證工作，建立可追溯工作機制對認證全過程完整記錄。

六、網絡安全服務認證機構應當公開認證收費標準和認證證書有效、暫停、注銷或者撤銷等狀態，并按照有關規定報送網絡安全服務認證實施情況及認證證書信息。

七、通過認證的網絡安全服務機構應當按照有關法律法規、標準規范等開展網絡安全服務工作，確保持續符合認證要求。

八、市場監管部門負責對網絡安全服務認證機構、認證活動和認證結果進行監督管理，依法查處認證違法行為。

九、網信部門、工業和信息化部門、公安部門依據各自職責，推動認證結果采信應用，加強網絡安全服務監督管理，促進網絡安全服務產業發展，依法查處有關違法行為。

國家市場監督管理總局

中央網絡安全和信息化委員會辦公室

工業和信息化部

公安部

2023年3月15日

The post 開展網絡安全服務認證工作的實施意見 first appeared on 信息安全咨詢公司.

企業是重要的市場主體，合規是其自覺履行義務的管理方式，是實現高質量發展的本質要求，也是實現可持續發展的重要基石與現實需要。深圳近年來緊緊圍繞建設中國特色社會主義先行示范區“法治城市示范”戰略定位，在全國率先提出“全面推進合規建設”、打造“企業合規示范區”的目標，系統性推進合規體系建設，助推民營經濟持續蓬勃發展。

深圳是如何走出具有自身特色的合規建設法治化之路的？在推動企業合規建設中還面臨哪些挑戰，如何破解？帶著這些問題，經濟日報記者近日深入當地走訪調查。

創新形成合力

ISO37301認證咨詢機構

什么是企業合規？是指企業經濟管理行為和員工履職行為符合國家法律法規、監管規定、行業準則和國際條約、規則，以及公司章程、相關規章制度等要求。過去，深圳企業普遍存在缺乏合規文化建設、合規流程制度不完善、合規專業能力弱、子公司管理難度大等問題。此外，深圳民營經濟發達，廣大中小微企業難有人力物力深入開展合規管理工作。

為此，深圳以問題為導向，從頂層設計推動體制機制創新，邁出合規體系建設的第一步。2020年10月29日，《深圳經濟特區優化營商環境條例》通過，明確提出推進市場主體合規建設；此后，《關于推進城市合規體系建設的指導意見（征求意見稿）》《企業合規管理體系（征求意見稿）》相繼出臺，從政府合規、企業合規、行業合規、涉外合規等多個方面，全方位、多維度、系統性地持續推進企業合規建設。

2019年5月，寶安區作為深圳首個企業合規建設示范區，被確定為全國首個信用標準化建設試點，并于2020年3月列入全國6個企業合規改革首期試點基層單位之一。2020年10月，當地率先推出“柔性執法8條”，切實保護企業市場主體地位。2021年3月，《寶安區推動企業合規建設 優化法治化營商環境工作方案》正式印發，目標是到2022年，區重點企業合規建設基本實現全覆蓋，形成一批可復制可推廣的經驗做法，初步建成全國企業合規建設示范區。

作為深圳產業大區，寶安區具有合規體系建設的迫切現實需求。“然而，寶安的上市企業目前只有68家，占比較低。如何助力大多數企業走向更為有序的發展階段？又由誰來主導、誰來引導？是寶安面臨的現實課題。”深圳市寶安區司法局黨組書記、局長詹文烈告訴記者，寶安因事而謀、高位推動，由區主要領導親自設計改革路徑，區分管領導統籌力推，牽頭制定方案，并創新工作舉措，堅持通過合規建設這個“小切口”實現優化營商環境“大改革”，切實把保護市場主體工作落到實處。他們還以企業服務為中心，從過去的保姆式服務轉變為保健式服務；并引進全國合規專家，深挖本地合規人才，打造高層次合規法律服務團隊，以此更公正、權威、專業地為企業解決合規難題。

該如何讓合規形成合力？合規是一個龐大體系，不可能一蹴而就。寶安區堅持守正創新，圍繞企業需求建立起專項合規體系，率先提出了刑事合規、行政合規、信用合規、行業合規及廉潔合規“五位一體”的合規建設體系。一方面，從政務服務、信用建設、合規激勵等入手，為企業培養合規發展意識；另一方面，從健全合規管理體系入手，持續優化營商環境，助力企業輕裝上陣。

“合規體系建設涉及的監管執法部門十分繁雜。從寶安的經驗來看，找準合規建設的抓手，建立起一套行之有效的保障支撐體系尤為關鍵。”詹文烈說，寶安區目前已構建起“六個一”支撐體系，并成立了區級促進企業合規建設委員會，確定了涵蓋行政執法部門在內的35家成員單位，通過明確各自相關工作職責與制度形成合力。

“在引導推動企業合規的同時，政府部門的監管執法同樣也要合規。”詹文烈表示，寶安區正探索行政合規模式，從企業與政府兩端雙管齊下，在建立違法容錯機制促進企業合規的同時，持續優化規范行政執法行為，建立行刑銜接機制，強化政府合規，目前已分批推出行政執法自由裁量權“三個清單”，制定合規指引420項。截至今年三季度，寶安區通過適時采取糾錯執法、分類處置違法行為等措施，減輕、從輕、不予處罰案件219宗，減免金額6500多萬元，為企業后續健康穩定發展奠定基礎。

激活發展勢能

企業合規建設是一個他律與自律融合發展、協同并進的過程。“早期，來自外部的監管要求是企業合規建設的原動力，不斷強化法治手段是主要抓手。如今，我國已進入高質量發展的新階段，企業合規不再是簡單的依法合規，而是更高層面的文化與商業文明的追求。”北京新世紀跨國公司研究所所長王志樂表示，必須引導企業由被動合規轉化為主動合規，推動企業在合法經營基礎上，將外在規則內化成企業內部規章，并將其上升至企業文化、企業價值觀層面，形成企業發展軟實力。

如何推動企業從“要我合規”到“我要合規”？2020年12月，深圳海關企業規范管理示范基地暨稽查核查實訓示范基地在寶安區正式啟用。法治視頻展示、互動交流、智能答疑……記者在充滿科技感的現場看到，以可視化交互設計、人工智能、VR實景教學等現代載體為依托，該示范基地能為企業提供完整的精準式、沉浸式和融合式管理示范。

“結合深圳關區各類產業基礎特點，這一基地聚焦服務于高端制造、高精尖科技、新興業態3類產業集群，創新建立起‘全景還原企業生產經營場所、全程模擬海關稽核查作業流程、全面考評配合針對性指導’三位一體的實訓體系，推動企業不斷提升自律合規意識和優化內控管理水平。”深圳海關企業管理和稽查處副處長王志文告訴記者，基地啟用近兩年來，已為700余家企業提供合規管理培訓，引導企業規范生產經營、重視信用管理建設，助力更多守法企業獲得高級認證企業資質，享受優惠通關便利。目前，深圳關區AEO認證企業達390家，在全國名列前茅。

如何建設形成具有廣泛社會共識的信用合規體系？2020年以來，寶安區率先在全國推進社會信用標準化建設，推行企業信用分級分類監管，探索公共信用評價與行業信用評價共享互認機制，針對在區內依法登記注冊且同時獲得海關高級認證、納稅信用A級納稅人、寶安區公共信用綜合評價A級的企業展開“3A信用企業”評選和聯合激勵。目前，寶安區已完成全區85萬多家商事主體的公共信用評級工作，首批58家“3A”信用企業名單正式發布，并評選出20多家誠信合規示范企業（園區）。

“‘3A’信用企業評選不僅是對企業誠信經營的一種認證，還能有效激活企業合規發展勢能。”據深圳市寶安區稅務局納稅服務科科長陳曉星介紹，對于獲得“3A”信用認證的企業，稅務部門將提供包括“現場辦稅免預約”“出口退（免）稅專崗直聯”等個性化稅收服務；并將信用等級評定納入每季度的專項工作中，推動企業誠信經營。

隨著合規建設走實向深，為企業發展壯大提供了有力支撐。“自2018年公司獲得AEO高級認證資質以來，不僅享受到海關的通關便利，對企業的合規管理也有很大幫助。”深圳市深聯電路有限公司是一家國家級高新技術企業，銷售覆蓋全球多個國家和地區。該公司報關部經理程春艷說，通過對標AEO認證標準，企業的內部管理水平和風險防范能力有了質的飛躍，各種業務流程也更加科學高效。“通過強化內部管理、持續改善進出口貿易安全和管理體系，我們獲得了更多貿易伙伴的商業選擇和信任，企業品牌全球知名度和影響力持續提升；憑借獲評為‘3A’信用企業，還進一步享受到了地方政府優先辦理、綠色通道等9大方面的聯合激勵措施。”程春艷說，今年1月至9月，公司進出口額達4.59億元，同比增長48%。

協同走向縱深

有了頂層設計，如何讓各項體制機制發揮實效，讓合規建設觸達各市場主體？各類行業組織成為其中不可或缺的橋梁與紐帶。“作為企業合規建設的重要一環，我們正探索建立‘行業自治+行業合規’雙重服務模式。”寶安區企業服務中心副主任何進軍介紹。

智能制造業是寶安區產業發展的重點領域。知識產權保護是最常面臨的企業合規難題。“我們大多數智能制造業企業都是技術研發型中小微企業，亟需提升知識產權全方位、全鏈條的合規保護能力。”據深圳市寶安區智能制造行業協會會長陳焱告介紹，近年來，他們已成立了知識產權保護工作站，并聯合律師事務所、保險機構等搭建多方共維的知識產權保護平臺深入開展相關工作，為企業創新發展保駕護航；還依托大族激光等龍頭企業，以“大手拉小手”的形式傳遞合規管理經驗，引導企業逐步完善合規體系，為企業國際化發展提供助力。

上市公司雖然對合規有著天然需求，但合規建設能力仍有待加強。“對于‘走出去’的上市企業而言，合規不是單純的合法即可，而需懂得當地的行業規則、人文風情、民俗習慣等。如部分企業在東南亞地區建廠時，往往因不了解當地用工、土地規劃等細節問題造成項目受阻。作為服務企業的平臺與橋梁，協會會給予專項幫扶，助力企業海外項目推進。”深圳市寶安區上市企業協會秘書長劉英說。

“合規體系建設非一日之功，是一場動態演進的‘持久戰’。”劉英表示，合規屬于“一把手”工程，在企業領導者支持與認可下推動企業合規才有意義。短期來看，時間、資金、精力成本的投入必不可少，但長遠來看，合規建設能夠幫助企業規避很多風險，節省相應的成本。

早在2019年，鑫榮懋果業科技集團股份有限公司就著手企業合規管理體系建設的探索。“我們將合規建設作為戰略性、全局性、制度性的決策部署，現已由上至下建立起了合規管理的三道防線；建立起從預防、控制、監督、問責到持續優化的合規風險管理閉環，為‘合規風險’搭建了一條‘護城河’。”鑫榮懋公司合規總監袁媛說，“合規最大的益處是能幫助企業把風險前置。雖然短期內影響不明顯，但隨著合規體系不斷完善，能很好防范風險的同時優化工作管理流程，最終實現降本增效。”在合規助力下，該公司業務持續增長，2021年營收過百億元。

“合規本質上是管理，其特點是全員、全流程、常態化。”王志樂認為，從目前企業風險問題分析來看，基本都可歸結于違規層面。因此，合規應當滲透企業管理的每一個細枝末節，通過管理將合規這一法治層面的目標轉化為日常可控、全員參與的可持續活動。

“目前，寶安區依托‘企業服務云課堂’‘企業合規培訓基地’等平臺，實現合規培訓的全覆蓋、廣受惠，今年就已開展10場合規培訓，服務企業1204家。”何進軍表示，接下來，寶安區將繼續加大企業合規建設力度，并持續加強部門溝通協作，提升合規工作專業度，拓展企業合規適用范圍，探索制定企業合規指導意見，營造法治化營商環境。

合規體系建設的持續完善為區域經濟發展提供了強勁動力。今年1月至10月，深圳規上工業增加值同比增長6.2%。今年1月至9月，寶安區經濟亦逐季劃出上揚曲線，實現GDP3279億元，同比增長3%；規上工業總產值達6913.01億元，規上工業增加值達1579.00億元，同比增長6.4%，總量均位居深圳市第一。 （經濟日報記者 楊陽騰）

The post 企業合規體系如何構建——深圳市寶安區打造企業合規示范區調查 first appeared on 信息安全咨詢公司.

《中央企業合規管理指引（試行）》的通知

國資發法規〔2018〕106號

各中央企業：

為推動中央企業全面加強合規管理，加快提升依法合規經營管理水平，著力打造法治央企，保障企業持續健康發展，我委制定了《中央企業合規管理指引（試行）》，現印發給你們。請遵照執行。工作中的情況和問題請及時反饋。

國　資　委

2018年11月2日

ISO37301認證咨詢機構

中央企業合規管理指引（試行）

第一章　總　　則

第一條　為推動中央企業全面加強合規管理，加快提升依法合規經營管理水平，著力打造法治央企，保障企業持續健康發展，根據《中華人民共和國公司法》、《中華人民共和國企業國有資產法》等有關法律法規規定，制定本指引。

第二條　本指引所稱中央企業，是指國務院國有資產監督管理委員會（以下簡稱國資委）履行出資人職責的國家出資企業。

本指引所稱合規，是指中央企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求。

本指引所稱合規風險，是指中央企業及其員工因不合規行為，引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。

本指引所稱合規管理，是指以有效防控合規風險為目的，以企業和員工經營管理行為為對象，開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。

第三條　國資委負責指導監督中央企業合規管理工作。

第四條　中央企業應當按照以下原則加快建立健全合規管理體系：

（一）全面覆蓋。堅持將合規要求覆蓋各業務領域、各部門、各級子企業和分支機構、全體員工，貫穿決策、執行、監督全流程。

（二）強化責任。把加強合規管理作為企業主要負責人履行推進法治建設第一責任人職責的重要內容。建立全員合規責任制，明確管理人員和各崗位員工的合規責任并督促有效落實。

（三）協同聯動。推動合規管理與法律風險防范、監察、審計、內控、風險管理等工作相統籌、相銜接，確保合規管理體系有效運行。

（四）客觀獨立。嚴格依照法律法規等規定對企業和員工行為進行客觀評價和處理。合規管理牽頭部門獨立履行職責，不受其他部門和人員的干涉。

第二章　合規管理職責

第五條　董事會的合規管理職責主要包括：

（一）批準企業合規管理戰略規劃、基本制度和年度報告；

（二）推動完善合規管理體系；

（三）決定合規管理負責人的任免；

（四）決定合規管理牽頭部門的設置和職能；

（五）研究決定合規管理有關重大事項；

（六）按照權限決定有關違規人員的處理事項。

第六條　監事會的合規管理職責主要包括：

（一）監督董事會的決策與流程是否合規；

（二）監督董事和高級管理人員合規管理職責履行情況；

（三）對引發重大合規風險負有主要責任的董事、高級管理人員提出罷免建議；

（四）向董事會提出撤換公司合規管理負責人的建議。

第七條　經理層的合規管理職責主要包括：

（一）根據董事會決定，建立健全合規管理組織架構；

（二）批準合規管理具體制度規定；

（三）批準合規管理計劃，采取措施確保合規制度得到有效執行；

（四）明確合規管理流程，確保合規要求融入業務領域；

（五）及時制止并糾正不合規的經營行為，按照權限對違規人員進行責任追究或提出處理建議；

（六）經董事會授權的其他事項。

第八條　中央企業設立合規委員會，與企業法治建設領導小組或風險控制委員會等合署，承擔合規管理的組織領導和統籌協調工作，定期召開會議，研究決定合規管理重大事項或提出意見建議，指導、監督和評價合規管理工作。

第九條　中央企業相關負責人或總法律顧問擔任合規管理負責人，主要職責包括：

（一）組織制訂合規管理戰略規劃；

（二）參與企業重大決策并提出合規意見；

（三）領導合規管理牽頭部門開展工作；

（四）向董事會和總經理匯報合規管理重大事項；

（五）組織起草合規管理年度報告。

第十條　法律事務機構或其他相關機構為合規管理牽頭部門，組織、協調和監督合規管理工作，為其他部門提供合規支持，主要職責包括：

（一）研究起草合規管理計劃、基本制度和具體制度規定；

（二）持續關注法律法規等規則變化，組織開展合規風險識別和預警，參與企業重大事項合規審查和風險應對；

（三）組織開展合規檢查與考核，對制度和流程進行合規性評價，督促違規整改和持續改進；

（四）指導所屬單位合規管理工作；

（五）受理職責范圍內的違規舉報，組織或參與對違規事件的調查，并提出處理建議；

（六）組織或協助業務部門、人事部門開展合規培訓。

第十一條　業務部門負責本領域的日常合規管理工作，按照合規要求完善業務管理制度和流程，主動開展合規風險識別和隱患排查，發布合規預警，組織合規審查，及時向合規管理牽頭部門通報風險事項，妥善應對合規風險事件，做好本領域合規培訓和商業伙伴合規調查等工作，組織或配合進行違規問題調查并及時整改。

監察、審計、法律、內控、風險管理、安全生產、質量環保等相關部門，在職權范圍內履行合規管理職責。

第三章　合規管理重點

第十二條　中央企業應當根據外部環境變化，結合自身實際，在全面推進合規管理的基礎上，突出重點領域、重點環節和重點人員，切實防范合規風險。

第十三條　加強對以下重點領域的合規管理：

（一）市場交易。完善交易管理制度，嚴格履行決策批準程序，建立健全自律誠信體系，突出反商業賄賂、反壟斷、反不正當競爭，規范資產交易、招投標等活動。

（二）安全環保。嚴格執行國家安全生產、環境保護法律法規，完善企業生產規范和安全環保制度，加強監督檢查，及時發現并整改違規問題。

（三）產品質量。完善質量體系，加強過程控制，嚴把各環節質量關，提供優質產品和服務。

（四）勞動用工。嚴格遵守勞動法律法規，健全完善勞動合同管理制度，規范勞動合同簽訂、履行、變更和解除，切實維護勞動者合法權益。

（五）財務稅收。健全完善財務內部控制體系，嚴格執行財務事項操作和審批流程，嚴守財經紀律，強化依法納稅意識，嚴格遵守稅收法律政策。

（六）知識產權。及時申請注冊知識產權成果，規范實施許可和轉讓，加強對商業秘密和商標的保護，依法規范使用他人知識產權，防止侵權行為。

（七）商業伙伴。對重要商業伙伴開展合規調查，通過簽訂合規協議、要求作出合規承諾等方式促進商業伙伴行為合規。

（八）其他需要重點關注的領域。

第十四條　加強對以下重點環節的合規管理：

（一）制度制定環節。強化對規章制度、改革方案等重要文件的合規審查，確保符合法律法規、監管規定等要求。

（二）經營決策環節。嚴格落實“三重一大”決策制度，細化各層級決策事項和權限，加強對決策事項的合規論證把關，保障決策依法合規。

（三）生產運營環節。嚴格執行合規制度，加強對重點流程的監督檢查，確保生產經營過程中照章辦事、按章操作。

（四）其他需要重點關注的環節。

第十五條　加強對以下重點人員的合規管理：

（一）管理人員。促進管理人員切實提高合規意識，帶頭依法依規開展經營管理活動，認真履行承擔的合規管理職責，強化考核與監督問責。

（二）重要風險崗位人員。根據合規風險評估情況明確界定重要風險崗位，有針對性加大培訓力度，使重要風險崗位人員熟悉并嚴格遵守業務涉及的各項規定，加強監督檢查和違規行為追責。

（三）海外人員。將合規培訓作為海外人員任職、上崗的必備條件，確保遵守我國和所在國法律法規等相關規定。

（四）其他需要重點關注的人員。

第十六條　強化海外投資經營行為的合規管理：

（一）深入研究投資所在國法律法規及相關國際規則，全面掌握禁止性規定，明確海外投資經營行為的紅線、底線。

（二）健全海外合規經營的制度、體系、流程，重視開展項目的合規論證和盡職調查，依法加強對境外機構的管控，規范經營管理行為。

（三）定期排查梳理海外投資經營業務的風險狀況，重點關注重大決策、重大合同、大額資金管控和境外子企業公司治理等方面存在的合規風險，妥善處理、及時報告，防止擴大蔓延。

第四章　合規管理運行

第十七條　建立健全合規管理制度，制定全員普遍遵守的合規行為規范，針對重點領域制定專項合規管理制度，并根據法律法規變化和監管動態，及時將外部有關合規要求轉化為內部規章制度。

第十八條　建立合規風險識別預警機制，全面系統梳理經營管理活動中存在的合規風險，對風險發生的可能性、影響程度、潛在后果等進行系統分析，對于典型性、普遍性和可能產生較嚴重后果的風險及時發布預警。

第十九條　加強合規風險應對，針對發現的風險制定預案，采取有效措施，及時應對處置。對于重大合規風險事件，合規委員會統籌領導，合規管理負責人牽頭，相關部門協同配合，最大限度化解風險、降低損失。

第二十條　建立健全合規審查機制，將合規審查作為規章制度制定、重大事項決策、重要合同簽訂、重大項目運營等經營管理行為的必經程序，及時對不合規的內容提出修改建議，未經合規審查不得實施。

第二十一條　強化違規問責，完善違規行為處罰機制，明晰違規責任范圍，細化懲處標準。暢通舉報渠道，針對反映的問題和線索，及時開展調查，嚴肅追究違規人員責任。

第二十二條　開展合規管理評估，定期對合規管理體系的有效性進行分析，對重大或反復出現的合規風險和違規問題，深入查找根源，完善相關制度，堵塞管理漏洞，強化過程管控，持續改進提升。

第五章　合規管理保障

第二十三條　加強合規考核評價，把合規經營管理情況納入對各部門和所屬企業負責人的年度綜合考核，細化評價指標。對所屬單位和員工合規職責履行情況進行評價，并將結果作為員工考核、干部任用、評先選優等工作的重要依據。

第二十四條　強化合規管理信息化建設，通過信息化手段優化管理流程，記錄和保存相關信息。運用大數據等工具，加強對經營管理行為依法合規情況的實時在線監控和風險分析，實現信息集成與共享。

第二十五條　建立專業化、高素質的合規管理隊伍，根據業務規模、合規風險水平等因素配備合規管理人員，持續加強業務培訓，提升隊伍能力水平。

海外經營重要地區、重點項目應當明確合規管理機構或配備專職人員，切實防范合規風險。

第二十六條　重視合規培訓，結合法治宣傳教育，建立制度化、常態化培訓機制，確保員工理解、遵循企業合規目標和要求。

第二十七條　積極培育合規文化，通過制定發放合規手冊、簽訂合規承諾書等方式，強化全員安全、質量、誠信和廉潔等意識，樹立依法合規、守法誠信的價值觀，筑牢合規經營的思想基礎。

第二十八條　建立合規報告制度，發生較大合規風險事件，合規管理牽頭部門和相關部門應當及時向合規管理負責人、分管領導報告。重大合規風險事件應當向國資委和有關部門報告。

合規管理牽頭部門于每年年底全面總結合規管理工作情況，起草年度報告，經董事會審議通過后及時報送國資委。

第六章　附　　則

第二十九條　中央企業根據本指引，結合實際制定合規管理實施細則。

地方國有資產監督管理機構可以參照本指引，積極推進所出資企業合規管理工作。

第三十條　本指引由國資委負責解釋。

第三十一條　本指引自公布之日起施行。

The post 國資委關于印發《中央企業合規管理指引（試行）》的通知 first appeared on 信息安全咨詢公司.

ISO27001認證

進中。在此信函中我們向您介紹換版相關的信息，以及在換版過程中賽寶認證中心能提供的服務。
注：已獲得ISO/IEC 27001：2013認證的客戶（包括其他機構注冊的客戶）本信函稱為已認證注冊客戶；還未獲得ISO/IEC 27001認證的客戶本信函稱為新客戶。

標準修訂的主要變化
按照ISO組織的規則，所有ISO標準都需要定期評估其適用性，這是為了與變化的相關方期望和新的技術水平保持一致。
本次新標準的修訂主要變化包括：
1
附錄A引用了ISO/IEC 27002:2022中的控制，其中包括控制標題和控制信息；
2
對第6.1.3 c）條的注釋進行了編輯性修改，包括刪除控制目標，并使用“信息安全控制”代替“控制”；
3
重新組織第6.1.3 d）條的措辭，以消除潛在的歧義。

標準換版的時間軸和里程碑
國際認可論壇（IAF）于2022年8月發布強制性文件IAF MD26:2023《ISO/IEC 27001:2022轉換要求》（第2版）規定了ISO/IEC 27001:2022的轉換要求。該要求規定ISO/IEC 27001:2022的轉換期為3年，即ISO/IEC 27001:2022發布月份最后一天起至2025年10月31日；在轉換期截止后，獲認可的、依據ISO/IEC 27001:2013的認證證書將過期失效或被撤銷。

國家認監委（CNCA）于2015年9月28日發布2015年第30號公告——《國家認監委關于管理體系認證標準換版工作安排的公告》。公告中明確了在等同采用國際標準的管理體系認證領域中，在國際標準發布后新版國家標準發布前的時期內依據國際標準開展認證及相關工作的安排。

國家認可委（CNAS）已發布CNAS-EC-066:2022《關于ISO/IEC 27001:2022認證標準換版的認可轉換說明》（2023第一次修訂版）。

結合以上規定，賽寶認證中心將開展ISO/IEC 27001:2022認證標準轉換活動，關鍵時間節點如下：

2022年10月25日 ISO/IEC 27001:2022 正式發布，進入3年版本轉換過渡期，在過渡期內2013版與2022版并存。
2022年11月1日 開始正式受理已認證注冊客戶的2022版換版申請，新客戶可選擇2013版或2022版進行初次認證。
2024年4月30日起 只依據2022版進行初次認證或再認證。
2025年10月31日起 賽寶認證中心發出的依據ISO/IEC 27001:2013的認證證書將失效。
考慮到認證流程要求，為審核文檔評審、不符合項整改、證書頒發等預留充足的時間，原則上已認證注冊客戶的換版申請截止日為2025年7月31日。為了給換版審核預留充分的時間，避免您錯過換版最后期限，賽寶認證中心建議您至少提前換版申請截止日一年（即2024年10月31日前）進行換版申請。

企業換版準備
賽寶認證中心建議您及早采取行動，以便順利完成換版，這些行動可能包括：

1
理解新標準的要求，參加新標準培訓：學習并理解新標準要求是換版工作的開始。為了幫助您理解新標準，您可以聯絡賽寶認證中心參加新標準的培訓課程；
2
進行差距分析，策劃換版變更，制定換版計劃：對目前體系與新標準的差距進行評估，列出其在策劃、實施、文件、記錄和人員能力等各方面的差距。針對每項差距安排計劃，包括職責分派、預期輸出、任務時間要求等；
3
執行換版計劃，新標準實施：執行換版計劃的安排，注意每項計劃所需的資源、時間等會有所差異。如一些重大變化（組織環境、風險管理、管理體系整合等）需要企業給予更多投入，包括高層更加緊密的參與，更多知識的擴展等。在完成換版策劃的各項計劃后，管理體系按新標準要求運行實施；
4
內部評估：在管理體系按照新標準運行后，建議您安排適當的內審和管理評審，對新標準實施的有效性進行評估，以確保換版工作的順利完成；
5
申請換版審核：準備就緒之后，您可以聯絡賽寶認證中心開始相應的換版工作。

換版方式和申請資料
圖片
換版流程圖
1
已認證注冊客戶（下列三種方式選取一種)
監督審核+換版審核 需提交包含2022版本換版申請的《信息安全管理體系認證申請書》和申請表中提到的文件資料。
再認證審核+換版審核 需提交包含2022版本換版申請的《信息安全管理體系認證申請書》和申請表中提到的文件資料。
單獨換版審核 需提交包含2022版本換版申請的《信息安全管理體系認證申請書》和申請表中提到的文件資料。
2
新客戶
認證2013版 按2013版認證申請流程和資料要求提交申請。在通過2013版認證后，按照已認證注冊客戶的要求進行換版。
認證2022版 需提交包含2022版本換版申請的《信息安全管理體系認證申請書》和申請表中提到的文件資料。
注：換版申請請咨詢您的賽寶客戶經理或撥打客服熱線（4008301909）
認證證書
1
2024年4月30日之前新舊版本的證書均可頒發。2022年10月31日之后頒發的2013版證書有效期截止2025年10月31日（客戶在2025年10月31前完成轉版審核，可申請換發有效期自前一次頒證日期起三年有效期的證書（不適用于證書上的換證日期））；2022版證書有效期為頒證之日起3年；
2
2024年4月30日后初次認證、再認證只能頒發ISO/IEC 27001:2022版證書。

在您順利通過換版審核和評審合格后，賽寶將向您換發ISO/IEC 27001:2022證書。
注：在認證標準轉換期間，帶CNAS或ANAB認可標識的、依據舊版認證標準認證證書仍可繼續使用。在本中心通過CNAS、ANAB認可轉換評審后，通過內部影響評估，可以給已經通過換版認證的企業換發帶有認可標識的新版證書。2025年10月31日起，依據ISO/IEC 27001：2013版標準的認證證書將失效。

審核人日
本中心2022版標準的換版，原則上可以采取再認證+換版、監督+換版和單獨換版三種方式進行。

1
若您選擇在再認證或監督審核時進行換版審核以獲得新版證書，這需要增加額外的審核人天，額外的審核人天數根據企業規模、產品和服務類型、適用的法律法規的不同會有所增加。按照該企業初次審核標準人日的10%計算，最少不少于1人天。現場審核時產生的差旅費按照原合同要求執行；
2
若您選擇單獨的換版審核，審核人天數根據企業規模、產品和服務類型、適用的法律法規的不同會有所增加。按照該企業初次審核標準人日的20%計算，最少不少于2人天。單獨換版時產生的差旅費由企業負責。

注：具體審核人日請咨詢您的賽寶客戶經理或撥打客服熱線（4008301909）

賽寶支持服務
感謝您選擇賽寶認證中心為您提供第三方認證服務。正是您的信任和支持幫助我們不斷成長，優秀的客戶群是我們最寶貴的資源。我們希望能在您企業的發展過程中繼續為您提供可信任的認證服務，成為您可信賴的合作伙伴，見證雙方在新的發展形勢下的共同成長。

賽寶認證中心用心服務客戶，關注客戶的感受。面對這一次標準換版，我們可以為您提供關于新標準的培訓服務。

請聯絡您的賽寶客戶經理或撥打客服熱線（4008301909），我們將竭誠為您提供全方位的認證服務。

The post 賽寶認證中心發布ISO/IEC 27001:2022換版通知 first appeared on 信息安全咨詢公司.

隨著該企業的數字化轉型，同時業務也開始擴展到國內多個城市，分支機構對業務的訪問和安全需求隨之而來。同時，疫情導致的遠程辦公常態化，諸多內部員工采用遠程訪問的方式進行業務操作。

在此背景下，給該企業安全帶來了雙重挑戰：
挑戰 1：業務和數據的訪問者超出了企業的傳統邊界。分支機構散布全國， 網絡、人員、設備都無法精確識別與控制。
挑戰 2：企業的業務和數據也超出了企業的認知邊界。數據流向安全管理人員無法控制的范圍。

二、方案概述和應用場景
以360連接云軟件定義邊界系統為核心，基于零信任架構，遵循零信任核心理念。包含環境感知、可信控制器、可信代理網關三大組件，具備以身份為基礎、最小權限訪問、業務隱藏、終端檢測評估、動態授權控制等幾大核心能力。實現企業終端統一管理、用戶統一管理、應用統一管理、策略統一管理、數據統一管理、安全統一管理。
圖片
圖1

三、優勢特點和應用價值
1.方案效果
1）企業用戶終端只能通過360安全瀏覽器進行身份認證，滿足企業“輕辦公”入口需求；
2）瀏覽器攜帶用戶身份通過可信網關進行認證并建立國密數據通道；
3）可信網關根據用戶權限鑒別開放其身份可見的業務系統；
4）用戶瀏覽業務系統文件時實現了防復制、防截屏、防打印、防下載等數據安全能力；

2.方案價值
1）安全
| 端口隱藏，減少攻擊暴露面；
| 國密數據通道加持，安全可靠；
| 數據不落地有效防止人為泄露；

2）高效
| 全面支持 SSO 單點登錄，無需反復認證；
| 不改變用戶使用習慣，打破無形的技術門檻；
| 統一用戶訪問入口，規范用戶訪問行為；

四、經驗總結
零信任的環境感知持續評估對后期運維帶來挑戰：客戶原有VPN用戶認證成功后后續再無安全動作，零信任強調的持續感知會要求對訪問終端的環境進行持續的評估，發現安全風險后可動態對訪問進行干預，這導致剛開始推廣時，運維管理員接到不少用戶咨詢訪問被干預的原因。建議在落地前整理對應問題解決FAQ，并通過企業內部統一IT工作流進行問題上報/跟蹤/處理整體流程。

以上案例由CSA全球會員單位360提供

The post 【轉摘】CSA案例集11 | 360 零信任架構的業務訪問安全案例 first appeared on 信息安全咨詢公司.

據了解，DSMM認證是國家認證認可監督管理委員會依據《中華人民共和國認證認可條例》批準，按照《信息安全技術數據安全能力成熟度模型》（GB/T 37988-2019）開展的認證。

GB/T 37988-2019是中國首部數據安全管理的國家標準，該標準自2020年3月1日開始實施，用來衡量一個組織的數據安全能力成熟度水平，可以幫助行業、企業和組織發現數據安全能力短板。相關主管部門也可以依據標準開展數據安全治理，提升區域的數據安全水平和競爭力，促進大數據產業及數字經濟發展。

據介紹，數據安全認證（貴州）有限公司成為中國首家DSMM認證機構，標志著貴州省推動大數據戰略行動向縱深發展，以數據安全為引領的大數據產業邁上了高質量發展的新臺階。

（責任編輯：佟明彪）

本文來源：中國質量報

The post 中國首家數據安全能力成熟度模型（DSMM）認證機構成立 first appeared on 信息安全咨詢公司.

京藥監發〔 2019〕164號

北京市藥品監督管理局
關于醫療器械網絡安全審查指導原則實施指南
征求意見的通知
各有關單位：
為規范北京市第二類醫療器械產品注冊工作，根據原國家食品藥品監督管理總局制定的《醫療器械網絡安全注冊技術審查指導原則》，北京市藥品監督管理局組織制定了《醫療器械網絡安全審查指導原則實施指南》。本指南從網絡安全特性和網絡安全能力的角度出發，圍繞醫療器械申報資料及技術審評要求，為注冊申請人提交第二類醫療器械網絡安全相關注冊申報提供指導。現征求各有關單位意見，請各有關單位于2019年9月17日前將修改意見或建議反饋至我局醫療器械注冊管理處。
聯系人：趙娜；聯系電話：83979600；傳真：83560730；電子郵件：ylqxzcglc@yjj.beijing.gov.cn（郵件名稱請注明：醫療器械網絡安全審查指導原則實施指南反饋意見）；通信地址：北京市西城區棗林前街70號中環廣場A座1307房間，郵編100053。
附件：醫療器械網絡安全審查指導原則實施指南（征求意見稿）

北京市藥品監督管理局
2019年8月15日
醫療器械網絡安全審查指導原則實施指南
（征求意見稿）
目 錄
TOC o “1-3” h z u
本指導原則實施指南旨在指導注冊申請人提交第二類醫療器械網絡安全注冊申報資料，同時為第二類醫療器械網絡安全的技術審評提供參考。
本指導原則實施指南是對第二類醫療器械網絡安全一般性要求的細化和補充，注冊申請人應根據醫療器械產品特性提交網絡安全注冊申報資料，注冊申請人也可采用其他滿足法規要求的替代方法，但應提供詳盡的研究資料和驗證資料。
本指導原則實施指南是對注冊申請人和審評人員的指導性文件，不包括審評審批所涉及的行政事項，亦不作為法規強制執行，應在遵循相關法規的前提下使用本指導原則實施指南。
本指導原則實施指南依據原國家食品藥品監督管理總局發布的《醫療器械軟件注冊技術審查指導原則》和《醫療器械網絡安全注冊技術審查指導原則》編寫，因而采用時應結合以上注冊技術審查指導原則的相關要求使用。
本指導原則實施指南適用于具有網絡連接功能以進行電子數據交換或遠程控制的第二類醫療器械產品的注冊申報，其中網絡連接包括無線網絡連接和有線網絡連接，電子數據交換包括單向數據傳輸和雙向數據傳輸，遠程控制包括實時控制和非實時控制。
同時，本指導原則實施指南也適用于采用存儲媒介以進行電子數據交換的第二類醫療器械產品的注冊申報，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
需要指出的是，本指導原則實施指南中所述的文件應來源于產品的開發過程。注冊申請人應將網絡安全風險管理與質量管理體系充分融合，在確保產品安全有效性的同時提高產品的網絡安全。
一、綜述
隨著網絡技術的發展，越來越多的醫療器械具備網絡連接功能以進行電子數據交換或遠程控制，這在提高醫療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫療器械網絡安全出現問題不僅可能會侵犯患者隱私，而且可能會產生醫療器械非預期運行的風險，導致患者或使用者受到傷害甚或死亡。因此，醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分。
同時，對于接入計算機信息系統的醫療器械，注冊申請人應考慮醫療器械的使用環境，對預期接入定級系統1 或非定級系統的醫療器械的網絡安全能力進行合理的設計。注冊申請人還應考慮國家對于網絡安全相關的法律法規和標準要求，特別是計算機信息系統安全保護方面的要求，如《中華人民共和國計算機信息系統安全保護條例》,《GB/T 22239-2019信息系統安全等級保護基本要求》,《GB/T 25070-2019信息安全技術網絡安全等級保護安全設計技術要求》等法規和標準。
二、醫療器械的使用環境
醫療器械根據使用環境可以分為家用醫療器械和醫院用醫療器械，以及既可以在家庭使用也可以在醫院使用的醫療器械。根據接口的類型可以分為有線網絡連接、無線網絡連接和連接本地存儲媒介。根據所處的網絡環境又可分為無網絡環境（僅連接本地存儲媒介）、受控的網絡環境和開放的網絡環境。注冊申請人應根據不同的使用環境，識別網絡安全風險，并采取相應的網絡安全措施。
3？ 醫療器械的網絡安全
（1？ 醫療器械網絡安全基本要求
醫療器械網絡安全是指保持醫療器械相關數據的保密性、完整性、可得性、真實性、可核查性、抗抵賴性以及可靠性等特性。
1.保密性（confidentiality）
指數據不能被未授權的個人、實體利用或知悉的特性，即醫療器械相關數據僅可由授權用戶在授權時間以授權方式進行訪問。
2.完整性（integrity）
指保護數據準確和完整的特性，即醫療器械相關數據是準確和完整的，且未被篡改。
3.可得性（availability）
指根據授權個人、實體的要求可訪問和使用的特性，即醫療器械相關數據能以預期方式適時進行訪問和使用。
4.真實性
一個實體是其所聲稱實體的特性，即醫療器械相關數據能夠體現真實的臨床狀態，包括生理狀態、操作狀態、設備狀態等。
5.可核查性
實體的一種特性,表征對自己的動作和做出的決定負責，即醫療器械相關數據表征對相關臨床動作和決定負責。
6.抗抵賴性
證明所聲稱事態或行為的發生及其發起實體的能力,以解決有關事態或行為發生與否以及事態中實體是否牽涉的爭端，即醫療器械相關數據可證明相關臨床事態和行為的發生及其發起的能力。
7.可靠性
與預期行為和結果一致的特性，即醫療器械相關數據與臨床的預期行為和結果一致。
（二）網絡安全能力
對醫療器械網絡安全的保障，是責任方、網絡設施提供方與醫療器械注冊申請人共同參與的結果。IEC 80001-2-22 以及MDS23 所識別的網絡安全能力，給醫療器械行業在考慮網絡安全風險控制的手段上，以現有技術水平而言，提供了一個被廣泛接受的切入點。
需要注意的是，注冊申請人對這些網絡安全能力進行配置以配合責任方進行網絡安全風險管理時，必須綜合考慮具體醫療器械的預期用途與使用場景。醫療器械的預期用途是對疾病的預防、診斷與治療，故而在權衡醫療器械的安全性、有效性以及數據安全時，仍然是以保證產品的安全性、有效性為首要任務。如在急救場景下要發揮醫療器械的有效性，可能不得不考慮對保密性的要求予以折衷。綜合考慮下來，最終的配置結果可能是大多數的醫療器械并不具備全部的網絡安全能力，這就需要醫療器械注冊申請人與責任方進行良好的溝通，以實現最終醫療環境下的網絡安全。
以下列出了十九種醫療器械網絡安全能力，并依據有關標準，結合醫療器械的產品特點對其主要內容進行了描述，注冊申請人可根據醫療器械的產品特性考慮其網絡安全能力要求的適用性，應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
1.自動登出能力 ALOF
無人值守的終端設備，存在被人進行非授權的操作、顯示信息被非授權人員閱讀的風險。此項網絡安全能力確保器械在所設時段內若未被用戶操作，則自動進入保護狀態，從而降低上述風險發生的概率。此項網絡安全能力，改善了器械的保密性與完整性，然而對器械的可得性會造成損害，應結合器械的預期用途與使用場景，決定是否配置以及如何配置。如對急診用器械、長期監護用器械、用戶無需獲得授權的器械等可得性要求較高的器械。
2.審核控制能力AUDT
器械的網絡安全與器械的使用方式息息相關，不正確、非授權的使用會導致器械存在網絡安全方面的風險。對器械使用環節的關鍵信息予以記錄，本身屬于風險控制措施的一部分。此項能力的配置對網絡安全的保密性、完整性、可核查性均有提升，有利于對醫療器械使用記錄提供可追溯性檢測以及用于事后問責調查和對風險的持續監視，也為風險控制的應急響應提供輸入。
3.確定用戶權限的能力 AUTH
醫療器械的非授權使用，會導致多種危險情況，確保醫療器械的使用者、管理者、維護者、擁有者得到合適的授權是重要的風險控制手段。用戶權限的管理可以提升保密性、完整性與可核查性，然而通常會導致可得性的損失。
4.網絡安全配置能力 CNFS
對器械網絡安全的保障是由責任方、使用者、網絡基礎設施供應商、醫療器械注冊申請人多方共同參與的一項活動。開放網絡安全相關的配置有利于網絡安全在使用場景中的整體部署，但是另一方面器械在有意、無意情況下的配置錯誤也可能導致不可接受的風險，此種情境是與系統的加固要求相矛盾的(SAHD)，應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
5.網絡安全升級能力 CSUP
器械以及器械所依賴的軟硬件環境，所面臨的威脅并不是一成不變的，作為風險控制手段，有必要對器械或器械的運行環境予以修補以抵御新的網絡威脅。由于器械、運行環境、所受威脅的狀況千差萬別，部分修補可以由用戶自行升級完成；而部分修補，則可能需要注冊申請人的授權人員才能進行。
6.健康數據去標識化能力 DIDT
在醫療服務過程中產生的健康數據常常具有預防、診斷、治療之外的其它價值，比如科研、培訓、不良事件追溯、設備維護等。健康數據若直接用于非醫療用途，則存在隱私數據保護方面的風險。數據交付之前，去除健康數據所附帶的身份信息，是提升保密性的重要手段。然而，去除標志會破壞數據的可追溯性。
7.數據備份與災難恢復能力 DTBK
健康數據在處理過程中面臨著數據被破壞甚至丟失的風險，保持數據備份與災難恢復的能力，可以提高數據的完整性與可得性。
8.緊急訪問隱私數據的能力 EMRG
醫療器械是以提供預防、診斷、治療目的為核心屬性，部分情況下器械、數據的可得性受損會導致不可接受的風險。為器械配置被緊急訪問的能力以及相應的安全可控的緊急訪問流程，對此項風險的控制至關重要。然而，配置被緊急訪問的能力，常常會導致可得性之外的其它網絡安全特性受損，應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
9.數據完整性真實性確認能力 IGAU
當數據的完整性受損而導致不可接受的風險時，醫療器械具備此項能力可以確保健康數據的來源可靠且未經篡改與破壞。
10.惡意軟件的防止、檢測與清除能力 MLDP
惡意軟件侵入醫療器械可能會導致不可接受的風險，此項能力可以對已知惡意軟件進行探測、報告并防止其侵害。由于惡意軟件的產生難以預知，此項能力需要在器械的使用過程中不斷維護，必要時采取緊急措施。
11.通信對象、通信節點的身份驗證能力 NAUT
器械若與未經授權的通信節點進行互操作，可能導致不可接受的風險。此項能力配合責任方的網絡安全策略可確保數據的發送方與接收方相互識別并被授權進行數據傳輸。
12.驗證合法用戶的能力 PAUT
有一部分器械并非開放給所有的使用者，這部分器械如果被未獲授權的用戶使用，可能導致不可接受的風險。此項能力配合責任方的網絡安全策略，可確保器械的使用者是經過授權認證的。
13.物理保護能力 PLOK
醫療器械在物理上被進入，會造成保密性與完整性的破壞，可能導致不可接受的風險。重點關注敏感信息的存儲介質（可移動介質除外）是否不借助工具就能被取出。
14.第三方組件管理能力 RDMP
醫療器械可能用到第三方組件作為整體醫療器械的一部分，比如第三方的操作系統或數據庫等。責任方若對此類組件不知情，則不利于此類組件未來的網絡安全管理，也不利于未來網絡安全事件的責任劃分，可能導致不可接受的風險。
15.系統與應用加固能力 SAHD
醫療器械中可能存在著與預期用途無關的配置，如某些非醫療預期用途的賬號、通信端口、共享文件、服務等。此類配置可能會成為網絡攻擊者所利用的通道，從而造成不可接受的風險，對這些配置予以關閉有利于降低風險發生的概率。
16.對操作者與管理員提供網絡安全指導的能力 SGUD
醫療器械的不當使用可能在醫療器械網絡安全方面造成不可接受的風險，對使用者提供產品說明、提供可索取的披露資料、予以培訓等，均有利于降低使用者操作不當的風險。
17.存儲保密能力 STCF
健康數據的明文存儲有損于產品的保密性，對數據存儲予以加密有利于降低數據泄露相關的風險。值得指出，國家在市場監督管理范疇之外，對商用密碼產品的科研、生產、銷售、使用等都有相應的規定，對商用密碼的使用，也應遵守市場監督管理范疇之外的法律法規要求。
18.傳輸保密能力 TXCF
健康數據的明文傳輸有損于產品的保密性，對數據傳輸予以加密有利于降低數據泄露相關的風險。值得指出，國家在市場監督管理范疇之外，對商用密碼產品的科研、生產、銷售、使用等都有相應的規定，對商用密碼的使用，也應遵守市場監督管理范疇之外的法律法規要求。
19.保障數據傳輸完整性的能力 TXIG
健康數據在傳輸過程中，數據可能受到無意的信道噪音干擾，也有可能受到惡意篡改，這都可能造成不可接受的風險。采用技術手段確保所接受到的數據與所發送出數據具有一致性，可以降低此類風險。
注冊申請人可以通過綜合考慮這19項網絡安全能力來提高產品的網絡安全特性。網絡安全能力與網絡安全特性之間的關系如下:
網絡安全特性
網絡安全能力
保密性
完整性
可得性
可靠性
ALOF 自動登出能力
2
2
-1
–
AUDT審核控制能力
1
1
–
1
AUTH 確定用戶權限的能力
2
2
-1
1
CNFS 網絡安全配置能力
1
1
1
1
CSUP 網絡安全升級能力
1
1
1
–
DTBK數據備份與災難恢復能力
–
1
2
–
EMRG 緊急訪問隱私數據的能力
–
–
2
-1
DIDT 健康數據去標識化能力
2
–
–
–
IGAU 數據完整性真實性確認能力
–
2
–
2
STCF 存儲保密能力
2
–
–
–
MLDP 惡意軟件的防止、檢測與清除能力
1
1
1
–
NAUT 通信對象、通信節點的身份驗證能力
1
–
–
1
PAUT 驗證合法用戶的能力
1
–
–
2
PLOK 物理保護能力
1
1
1
–
SGUD 對操作者與管理員提供網絡安全指導的能力
1
1
1
1
SAHD 系統與應用加固能力
1
1
1
–
RDMP 第三方組件管理能力
–
–
–
–
TXDF 傳輸保密能力
2
–
–
–
TXIG 保障數據傳輸完整性的能力
–
2
–
–
注：“2”指可以顯著提高此項網絡安全特性，“1”指可以提高此項網絡安全特性，“-”指基本不對此項網絡安全特性產生影響，“-1”指可以降低此項網絡安全特性。
（三）網絡安全的上市后監管
1.網絡安全事件4
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。網絡安全事件可能會造成醫療器械系統不能訪問、醫療數據泄露或者篡改，進而有可能導致病人受到嚴重傷害或死亡或病人的健康數據泄漏。
2.網絡安全事件的處置
醫療器械 注冊人應建立產品上市后的網絡安全事件處置流程。 網絡安全事件發生后，醫療器械 注冊人 應 能夠 及時有效地處理和管理安全事件 ，通常包括以下措施：
應收集并確認 受 網絡安全事故 影響的 客戶，識別網絡安全事件對相關系統帶來的風險 ；
應快速采取應急對策，例如 ： 告知客戶斷開網絡連接， 提供 臨時解決方案恢復系統至正常工作狀態 等；
應對網絡安全事件的做出詳細的風險分析和評估 ；
應提供經過驗證和確認的解決措施，并告知客戶相關的更新信息。
注冊申請人應建立相應的組織以確保網絡安全事件處置流程得以實施。
3.網絡安全事件上報
當下列網絡安全事件發生，醫療器械注冊人應及時報送信息給監管部門：
——病人受到嚴重傷害或者死亡；
——醫療器械注冊人提供的大量醫療器械系統不能訪問；
——大量的病人健康數據泄露。
若涉及到病人受到嚴重傷害或者死亡的網絡安全事件，醫療器械注冊人應按照醫療器械不良事件的相關規定上報。
4.涉及召回的網絡安全事件應按照醫療器械召回的相關法規處理。
5.網絡安全更新的管理
網絡安全更新（包括自主開發軟件和現成軟件）根據其對醫療器械的影響程度可分為以下兩類：
——重大網絡安全更新：影響到醫療器械的安全性或有效性的網絡安全更新；
——輕微網絡安全更新：不影響醫療器械的安全性與有效性的網絡安全更新，如常規安全補丁。
醫療器械產品發生重大網絡安全更新，應進行許可事項變更；而發生輕微網絡安全更新，注冊人應通過質量管理體系進行控制，無需進行注冊變更，待到下次注冊（注冊變更和延續注冊）時提交相應注冊申報資料。醫療器械同時發生重大和輕微網絡安全更新，遵循風險從高原則應進行許可事項變更。
涉及召回的網絡安全更新應按照醫療器械召回的相關法規處理，不屬于本指導原則討論范圍。
軟件版本命名規則應考慮網絡安全更新的情況。
注冊申請人在提交注冊申報資料時，應根據醫療器械網絡安全的具體情況提交網絡安全描述文檔或常規安全補丁描述文檔。網絡安全描述文檔適用于產品注冊、重大網絡安全更新，常規安全補丁描述文檔適用于輕微網絡安全更新。
4？ 網絡安全注冊資料
注冊申請人應當結合醫療器械產品的預期用途、使用環境和核心功能以及預期相連設備或系統（如其它醫療器械、信息技術設備）的情況來確定醫療器械產品的網絡安全特性，提交網絡安全描述文檔。網絡安全描述文檔應描述醫療器械的基本信息、風險管理、驗證與確認和維護計劃。
（1？ 基本信息
應描述醫療器械產品網絡安全相關的基本信息，這些信息包括：
1.醫療器械傳輸，存儲和處理的信息描述；
2.以上信息的類型：健康數據、設備數據；
3.以上信息交換的方向（單向、雙向）；
4.以上信息是否用于遠程控制（實時、非實時）；
5.以上信息的用途：如臨床應用、設備維護等；
6.以上信息的交換方式：網絡（無線網絡、有線網絡）及要求（如傳輸協議 （標準、自定義） 、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式（標準、自定義）、容量等）；對于專用無線設備（非通用信息技術設備），還應提交符合無線電管理規定的證明材料；如涉及個人敏感數據，應明確個人敏感數據的儲存和傳輸方式；
7.醫療器械包含的安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規格、完整版本、供應商、運行環境要求；
8.醫療器械包含的現成軟件： 描述現成軟件（包括應用軟件、系統軟件、支持軟件）的名稱、型號規格、完整版本和供應商 。
（二）風險管理
1.網絡安全風險管理概述
網絡安全風險管理是指注冊申請人基于醫療器械產品的預期用途和使用場景進行網絡安全風險分析，評價并采取網絡安全風險控制手段確保產品的網絡安全能力。注冊申請人可對網絡安全采用醫療器械風險管理的方法（可參照《YY/T 0316 醫療器械 風險管理對醫療器械的應用》）對產品網絡安全相關的風險進行分析、評價和控制，也可采用信息安全網絡安全風險評估的方法（可參照《GB/T20984 信息安全技術 信息安全風險評估規范》）進行評估，并進行風險控制。
如適用，醫療器械網絡安全風險管理應考慮對個人敏感信息的保護。對個人信息的處理，應遵循個人信息安全基本原則5 和相關的法律法規。如有必要，應對個人信息進行匿名化或去標識化處理。
風險管理除了從網絡安全角度來考慮產品的網絡安全能力外，還應當根據醫療器械的預期用途考慮網絡安全風險對醫療器械的安全性和有效性的影響。
醫療器械產品網絡安全風險管理需要考慮醫療器械產品整個產品生命周期并作適時更新。
2.網絡安全風險管理過程
（1）風險分析與評價
注冊申請人應對網絡安全管理活動進行策劃并制定網絡安全風險可接受性準則。注冊申請人應考慮網絡安全損害的嚴重度和網絡安全損害的發生概率并按照接受性準則決定是否需要降低風險。
a？ 網絡安全損害的嚴重度，例如：
等級名稱
代碼
網絡安全損害的嚴重度
輕度
1
例如：輕微傷或者無須處理，少量設備數據泄露…
中度
2
例如：中等人身傷害需要專業醫治，有限的設備數據泄露…
嚴重
3
例如：一人重傷或者死亡，有限的病人數據泄露…
災難
4
例如：多人重傷或者死亡，大規模病人數據泄露…
b？ 網絡安全損害的發生概率，例如：
等級名稱
代碼
網絡安全損害的發生概率
極少
1
<10 -3 　　非常少 　　2 　　10 -2 -10 -3 　　偶爾 　　3 　　10 -1 – 10 -2 　　有時 　　4 　　1 – 10 -1 　　經常 　　5 　　>1
注：發生概率應和醫療器械具體情況相適應
（2）風險控制
根據風險評價結果需要降低風險時，注冊申請人應當識別適當的風險控制措施，以把風險降低到可接受的水平。
風險分析、評價和風險控制措施記錄表舉例
漏洞
威脅
描述
技術風險
系統設計，實施或操作和管理中的一系列條件，使其易受影響
有可能造成不良后果的來源。可以是作用物，人，事件或事物，動機可以是有意的或無意的
原因，影響因素 描述風險場景，漏洞和緩解因素=漏洞+可利用性
初始風險
緩解措施
剩余技術風險
漏洞編號
漏洞描述
威脅描述
風險狀況
可能性
影響
風險
緩解措施
緩解措施編號
可能性
影響
風險
風險評估矩陣模型舉例
a？ 初始風險分布
概率
嚴重度
總計
4
3
2
1
災難
嚴重
中度
輕度
經常
5
0
0
0
0
0
有時
4
1
0
2
2
5
偶爾
3
0
2
4
1
7
非常少
2
0
0
0
3
3
極少
1
2
0
2
1
5
總計
3
2
8
7
20
b？ 措施后風險分布
概率
嚴重度
總計
4
3
2
1
災難
嚴重
中度
輕度
經常
5
0
0
0
0
0
有時
4
0
0
0
1
1
偶爾
3
0
1
2
1
4
非常少
2
0
0
0
3
3
極少
1
0
0
2
1
3
總計
0
1
4
6
11
（3）風險管理報告
注冊申請人應形成網絡安全風險管理報告，并完成風險管理過程的評審，確認綜合剩余風險是可接受的。
（4？ 關于上市后的風險
注冊人要持續關注產品上市后與產品相關的網絡安全風險，根據實際情況適時更新風險分析、評價和控制文件，如法規更新、不良事件報告等。
（三） 驗證與確認
（1）總體原則
網絡安全驗證和確認活動的目的是確定風險管理中采用的網絡安全控制手段均已得到正確的實施，從而確保醫療器械產品的網絡安全需求（如保密性、完整性、可得性等特性）均已得到滿足。
對于現成軟件，注冊申請人應當在網絡安全風險分析過程中將其作為產品的一部分進行充分的網絡安全評估，并在產品的網絡安全能力配置中予以綜合考慮。
（2）驗證與確認活動
注冊申請人應當在醫療器械產品研制的全生命周期過程中進行網絡安全的驗證與確認活動，通過分析、測試、評估、審查等手段，確保醫療器械產品的網絡安全需求得到滿足。網絡安全驗證與確認活動可以參考附錄中的19項網絡安全能力評價準則。
A）應當 確保在醫療器械產品的需求、設計、測試以及風險管理各個階段考慮并落實網絡安全需求，并且保證網絡安全需求規范、設計規范、測試以及風險管理的一致性和完整性。
B）應當針對醫療器械產品進行網絡安全測試驗證，確保所有網絡安全風險控制措施都得到正確的實施。
a）應對網絡安全測試活動進行合理的策劃，包括確定測試的內容（包括產品需求中要求配置的網絡安全能力）、測試人員和相應的職責、測試所需的環境、測試的技術和方法（如漏洞測試、惡意軟件測試、缺陷輸入測試、結構化滲透測試）、異常處理方式、測試通過的準則、測試所需的資源以及測試進度安排等。
b）應根據測試計劃的安排仔細設計測試用例，并按照測試用例的要求執行測試活動，如實記錄原始測試結果，確保測試過程的可追溯性。對于安全軟件，注冊申請人應當針對不同的軟件、硬件運行平臺，進行兼容性測試；如果產品采用標準傳輸協議或存儲格式，應當進行審查或測試驗證其對相關標準的符合性；如果產品采用自定義的傳輸協議和存儲格式，應當進行完整性測試驗證。
c？ 應對測試結果進行仔細的分析和評價，確保測試活動的有效性，并對測試遺留的問題進行評價。
（3）驗證與確認記錄
注冊申請人應當將醫療器械網絡安全驗證與確認活動的結果以文檔的方式進行記錄，確保網絡安全驗證與確認活動的可追溯性。
1）應當以文檔的形式記錄醫療器械網絡安全需求規范、設計規范、測試以及風險管理的追溯性關系。
2）應當對網絡安全測試策劃活動進行記錄并形成網絡安全測試計劃文檔。
3）應當對網絡安全測試執行過程、測試結果以及測試結果的分析評估進行記錄，形成網絡安全測試報告。
4）對于安全軟件，注冊申請人應將兼容性測試結果進行單獨文檔記錄，并形成兼容性測試報告。
5）對于采用標準傳輸協議或存儲格式的產品，注冊申請人應當記錄標準符合性審查結果；對于采用自定義的傳輸協議和存儲格式的產品，注冊申請人應當對完整性測試結果進行記錄并形成完整性測試報告。
6）可以對實時遠程程控功能的產品中關于遠程數據相關的測試進行單獨的文檔記錄，并形成相應的完整性和可得性測試報告。
（四）維護計劃
（1）維護流程
在醫療器械產品上市后，注冊人應結合自身質量管理體系要求，制定網絡安全維護流程，保證醫療器械產品的安全性和有效性。
網絡安全維護流程涉及到以下方面：
1）監控網絡安全信息源（包括第三方軟件組件）以識別和檢測網絡漏洞；
2）了解、檢測可能發生的漏洞，評估其風險影響；
3）與設備的安全和基本性能有關的網絡安全問題，特別是網絡安全事件相關的問題，重點分析其風險和影響，制定減輕策略，使得醫療器械產品及時得到保護和恢復；
4）用于修補漏洞的軟件更新和補丁程序，需要進行驗證和確認，包括第三方軟件組件的漏洞修復（例如，操作系統，安全軟件等）；
5）盡早地部署軟件網絡安全更新程序至客戶站點，并告知客戶相關更新內容。
有關醫療器械產品中網絡漏洞的披露和處理，可參閱文獻ISO/IEC 291476 和ISO/IEC 301117 。
（2）網絡安全更新
具備聯網功能的醫療器械產品面臨的網絡問題可能不斷變化，注冊申請人在產品上市前難以解決所有的網絡安全問題。醫療器械注冊人應對已上市產品進行有效、及時并持續地網絡安全更新。
對于已發現的漏洞，應分析漏洞的可被利用性，對病人傷害的嚴重程度以及病人信息泄露的可能性，醫療器械注冊人應決定該漏洞的風險是可控還是處于失控狀態，制定相應的解決措施修復該網絡漏洞。與網絡安全事件相關的網絡更新，需要重點分析其風險和影響，及時有效地提供經驗證的解決方案。
通常的網絡安全更新應包括：
1）自研軟件的漏洞安全更新；
2）第三方軟件（包括操作系統等）的漏洞安全更新；
3）安全軟件（如殺毒軟件等）的病毒掃描引擎的更新。
若在醫療器械產品中新的網絡安全設計是不可行的或者不能馬上實施，注冊人應考慮使用網絡補償控制方案來減輕網絡漏洞風險。
網絡補償控制是在缺乏有效網絡安全設計的前提下，提供補充性網絡防護措施。例如注冊申請人對醫療器械產品的網絡漏洞評估后，認為對設備未被授權的情況下進行訪問極有可能影響設備的安全和基本性能，但是若該設備沒有連接到外部網絡(例如，醫院網絡)或者使用路由器對連接進行限定，則醫療器械仍然可以安全有效的工作。
（五） 產品技術要求
1.數據接口
對于預期接入IT-網絡或與其它醫療器械進行交互的 醫療器械，其數據交換方式有兩種：網絡（包括有線網絡和無線網絡）或存儲媒介（如光盤、移動硬盤、U盤等）。
對于數據交換的接口，常見的有線接口如USB、RS232、RS485、CAN、RJ45等。近些年，無線通訊被廣泛使用，如藍牙、WiFi、Zigbee、RFID、各種蜂窩無線網絡等。對于有線接口，技術要求中應明確連接接口的規格，有線網絡要明確帶寬要求。對于無線網絡，應描述網絡類型 或 制式、使用頻段、數據特性（例如上下行傳輸速率）等。
注冊申請人可以采用已經標準化的數據傳輸協議或存儲格式。醫療器械常用的傳輸協議如HL7、DICOM，存儲格式如EDF等。注冊申請人也可以使用通用的網絡傳輸協議如TCP/IP、UDP、HTTP、HTTPS等。注冊申請人在產品技術要求中，應明確傳輸協議/存儲格式。對于已經標準化的傳輸協議或存儲格式除了說明協議類型之外，還應說明協議的版本，如果對設備進行控制，應說明是否為實時控制。
對于注冊申請人自定義的數據傳輸協議或存儲格式，應在隨機文件中描述或在產品技術要求中提供相應的驗證方法。
2.用戶訪問控制
醫療器械在執行用戶訪問控制之前，應完成對用戶身份的鑒別或認證。認證是系統驗證希望訪問系統的用戶身份的過程。基本的認證技術包括數字簽名、消息認證、數字摘要和簡單的身份認證等。在產品技術要求中醫療器械注冊申請人應明確醫療器械所采用的用戶身份簽別技術。
用戶訪問控制策略對醫療器械的保密性、完整性起直接的作用，是對越權使用資源的防御措施，是網絡安全的重要組成部分。醫療器械的使用者應依據訪問控制策略來限制對數據和系統功能的訪問。用戶訪問控制的種類早期分為自主訪問控制（DAC）和強制訪問控制（MAC），但隨著計算機和網絡技術的發展，又出現了基于角色的訪問控制（RBAC）、基于任務的訪問控制（TBAC）、以及基于屬性、上下文、信譽等等的訪問控制模型。隨著系統的復雜度變高，一個系統中也可以融合多種訪問控制策略。在產品技術要求中，醫療器械注冊申請人應明確醫療器械執行的用戶訪問控制的方法、用戶類型及權限。
（六） 說明書
預期接入網絡或與其它醫療器械進行交互的 醫療器械具有更復雜的運行環境與技術生態系統，例如：復雜的信息與技術基礎設施（例如硬件、軟件、網絡、其他系統和數據接口等），眾多的參與開發、實施、使用所涉及的人員、組織和服務機構。預期接入網絡的醫療器械生命周期不僅包含設計與開發、也應包含實施與臨床使用，包括涉及醫療器械的采購、安裝、配置、數據集成或遷移、工作流實現與優化、培訓、使用與維護、退市等各種環節。
一般情況下，醫療器械注冊申請人只涉及醫療器械的設計與開發過程，而后期的實施與臨床使用等環節的網絡安全由另外的組織來負責。注冊申請人雖無法保證整個醫療器械生命周期的網絡安全，但應在說明書或其他文檔中提供在實施與臨床使用環節中所需要的必要信息，如運行環境、接口與訪問控制、安全軟件及軟件更新等，以保證在實施與臨床使用環節的網絡安全。
1.運行環境
如適用，注冊申請人在說明書中應明確醫療器械的運行環境，包括硬件配置、軟件環境和網絡條件。硬件配置應明確醫療器械安全運行所需要的最低硬件資源配置要求，比如CPU、內存、存儲與顯示要求等。軟件環境應明確要求醫療器械運行所需要的操作系統等。網絡條件應明確醫療器械運行所需要的網絡類型、帶寬等。
2. 接口與訪問控制
如適用，注冊申請人在說明書中應描述接口與訪問控制，以滿足醫療器械實施與臨床使用過程中的要求。對于接口的描述，應能夠滿足醫療器械與網絡、或其它設備的安全連接。對于訪問控制的描述，應能指導使用者安全使用系統提供的訪問控制策略并集成到工作流程中。
3.安全軟件
在資源允許的情況下，醫療器械可使用一些安全軟件來提高產品的網絡安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用，注冊申請人應在說明書中明確這些軟件的名稱、版本等信息。
4.軟件更新
如適用，注冊申請人應在說明書中明確軟件環境與安全軟件的更新需求，更新的來源、執行的步驟等。
附錄
19項網絡安全能力評價準則
1.自動登出能力（Automatic logoff–ALOF）
注冊申請人應考慮，未授權的用戶不能在無人值守的工作區訪問健康數據，授權用戶會話需要在預先設置的一段時間后自動終止或鎖定；自動注銷需要包括清除所有顯示器上的健康數據；本地授權的IT管理員需要能夠禁用該功能并設置過期時間(包括屏幕保護程序)；當短時間內(例如15秒到幾分鐘)沒有按下鍵時，可以調用此對健康數據顯示清除；臨床用戶不應因自動下線而丟失未提交的工作，這是可取的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
2.審核控制能力（Audit controls–AUDT）
注冊申請人應考慮，通過在設備上創建審計跟蹤來跟蹤系統和健康數據訪問、修改或刪除，從而記錄和檢查系統活動的能力。支持將日志記錄信息作為獨立存儲庫(在其自己的文件系統中記錄審計文件)使用。使用適當的審計審查工具支持審計創建和維護，確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下)，并確保無法編輯或刪除審計數據。審計數據可能包含個人數據和/或健康數據，所有處理(例如存取、儲存和轉移)都應該有適當的控制。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
3.確定用戶權限的能力（Authorization–AUTH）
注冊申請人應基于經過身份驗證的單個用戶進行標識，授權功能允許每個用戶僅有訪問已批準的數據權利，并僅在設備上執行已批準的功能。授權用戶包括注冊申請人安全控制人員和該策略定義的服務人員。醫療器械通常支持基于許可的系統，提供對注冊申請人安全控制人員中個人角色(基于角色的訪問控制)適當的系統功能和數據的訪問。例如：
1）操作者可使用所有適當的設備功能(例如監察或掃描病人)執行指定的工作。
2）質量人員(如醫學物理學家)可以從事所有適當的質量和保證測試活動。
3）服務人員可以以支持預防性維護、問題調查和問題消除活動的方式訪問系統。
4）授權允許注冊申請人在有效交付醫療保健機構的同時：①維護系統和數據安全；②遵循適當的數據訪問最小化原則。授權可以在本地或注冊申請人范圍內管理(例如通過集中目錄)。
注:如果預期使用不允許登錄和注銷設備所需的時間(例如高吞吐量使用)，則本地IT策略可以允許減少授權控制，假定受控制和受限制的物理訪問是否足夠。
應根據器械預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
4.網絡安全配置能力（Configuration of security features–CNFS）
注冊申請人應考慮，本地授權的IT管理員能夠選擇使用產品安全功能還是不使用產品安全功能。這需要考慮網絡安全風險評估內容，可以包括與安全能力控制交互的特權管理方面。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
5.網絡安全升級能力（Cyber security product upgrades–CSUP）
注冊申請人應按照規定，盡快在醫療產品上安裝第三方安全補丁: 根據客觀的、權威的、文檔化的漏洞風險評估，優先考慮解決高風險漏洞的補丁。要求醫療產品供應商和醫療服務提供商確保其產品持續安全和有效的臨床功能。了解本地醫療器械法規。進行充分的測試，以發現對醫療產品(性能或功能)可能危及患者的任何意外副作用。注冊申請人需要提供關于評估/驗證補丁的主動信息。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
6.健康數據去標識化能力（HEALTH DATA de-identification–DIDT）
注冊申請人應考慮，臨床用戶、服務工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數據。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
7.數據備份與災難恢復能力（Data backup and disaster recovery–DTBK）
注冊申請人應合理保證在系統故障或損壞后，可以恢復存儲在產品上的持久保存的系統設置和敏感數據，以便業務能夠繼續進行。特別需要注意的是，這一要求可能不適用于較小的低成本設備。這實際上可能依賴于在下一個采集周期中收集新的相關數據的能力(例如由于偶爾的無線信號丟失而丟失的短時心率數據)。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
8.緊急訪問隱私數據的能力（Emergency access–EMRG）
注冊申請人應考慮，在緊急情況下，臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數據(break-glass功能)。應檢測、記錄和報告應急通道。理想情況下，包括以某種方式立即通知系統管理員或醫務人員(除了審計記錄之外)。緊急訪問需要在輸入時要求并記錄自認證用戶標識(無需身份驗證)。注冊申請人可以通過使用特定用戶帳戶或系統功能的過程方法來解決這個問題。管理員需要能夠啟用/禁用依賴于技術或過程控制的產品提供的任何緊急功能。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
9.數據完整性真實性確認能力(HEALTH DATA integrity and authenticity–IGAU)
注冊申請人可以通過使用包括固定介質和可移動介質，來確保健康數據是可靠的，不會被篡改。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
10.惡意軟件的防止、檢測與清除能力（Malware detection/protection–MLDP）
注冊申請人應考慮，產品支持法規和用戶需求，以確保有效和統一的支持，可以預防、檢測和刪除惡意軟件。防止惡意軟件，對應用程序及時進行軟件更新，關注惡意軟件模式，及時對當前操作環境、系統、數據文件和應用程序進行補丁更新。并經常需要對設備運行更新后進行驗證測試，以確保持續使用和安全。注冊申請人需要檢測傳統的惡意軟件以及可能干擾設備/系統正常運行的未授權軟件的影響，并提供詳細的測試結果。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
11.通信對象、通信節點的身份驗證能力（Node authentication–NAUT）
注冊申請人應能夠以一種方式管理跨機器的賬戶，以保護健康數據訪問。支持獨立管理和集中管理。支持根據行業標準進行節點認證。檢測和防止實體偽造(提供不可抵賴性)。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
12.驗證合法用戶的能力（Person authentication–PAUT）
注冊申請人在為控制和監視網絡訪問和活動的網絡連接設備創建和使用用戶的唯一賬戶和基于角色的訪問控制(RBAC、本地和遠程)。以一種方式管理賬戶以保護健康數據訪問的能力。用戶可能需要將個人首選項與用戶賬戶關聯。這可能有助于多個運營商、部門甚至多個使用的設備和系統。支持獨立和中央管理。單點登錄和所有工作地點的密碼相同。控制對設備、網絡資源和健康數據的訪問，并生成不可否認的審計跟蹤，發現和防止人員造假(提供不可抵賴性)。注意，這個要求在臨床中緊急訪問操作期間是放松的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
13.物理保護能力（Physical locks on device–PLOK）
注冊申請人應合理保證儲存在產品或媒體上的健康數據是和保持安全的方式與設備上數據記錄的靈敏度和容量成比例。系統合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。篡改(包括設備移除)是可以檢測到的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
14.第三方組件管理能力（Third-party components in product lifecycle roadmaps–RDMP）
注冊申請人應對醫療器械提供明確的預期壽命說明，并對提供第三方組件的服務商對其產品生命周期內維護或支持相應的系統進行要求。當平臺組件過時的情況下，需要及時進行更新和升級。在存儲設備退役(丟棄、重用、轉售或回收)之前，服務提供商需不可逆地擦除健康數據。這些活動應該被記錄和審計。銷售和服務人員應了解對每個產品在其生命周期中提供的安全支持。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
15.系統與應用加固能力（System and application hardening–SAHD）
注冊申請人應給用戶提供一個穩定的系統，并且只提供那些根據其預期用途而指定和需要的服務，同時進行最少的維護活動。并且要求連接到它們的網絡的系統在交付時是安全的，加強了對誤用和攻擊的抵御能力。注冊申請人應將用戶反饋的用戶設備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風險分析和管理進行漏洞的修復，并及時更新提交。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
16.對操作者與管理員提供網絡安全指導的能力（Security guides–SGUD）
注冊申請人應讓操作人員清楚地了解自己的職責和安全的系統工作方式。管理員需要關于管理、定制和監視系統的信息(即訪問控制列表、審計日志等)。管理員需要清楚地了解安全功能，以便根據適當的法規要求進行健康數據風險評估。銷售和服務應包括系統的安全能力和安全工作方式的信息。用戶應知道如何以及何時將用戶設備中可能存在的安全漏洞和察覺到的弱點通知注冊人。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
17.存儲保密能力（HEALTH DATA storage confidentiality–STCF）
注冊申請人應合理保證儲存在產品或媒體上的健康數據是保持安全的。基于風險分析，必須考慮對存儲在醫療器械上的健康數據進行加密。對于存儲在可移動介質上的健康數據，加密可以保護臨床用戶、提供服務和收集臨床數據的應用程序工程師的機密性/完整性。應使用一種與傳統使用、服務訪問、緊急訪問一致的加密密鑰管理機制。加密方法和強度考慮了數據的容量(記錄收集/聚合的程度)和靈敏度。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
18.傳輸保密能力（Transmission confidentiality–TXCF）
注冊申請人應確保在經過身份驗證的節點之間傳輸期間保持健康數據機密性。這允許在相對開放的網絡和/或環境中傳輸健康數據，在這些環境中使用用于健康數據完整性和保密性的強大保密策略（詳見：I EC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks）。 應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
19.保障數據傳輸完整性的能力（Transmission integrity–TXIG）
注冊申請人應提供確保傳輸過程中考慮風險分析后健康數據的完整性測試的結果，這允許注冊申請人在相對開放的網絡或環境中傳輸健康數據，需使用健康數據完整性強策略。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
參考文獻：
1）《醫療器械軟件注冊技術審查指導原則》（原國家食品藥品監督管理總局2015年第50號通告）
2）《醫療器械網絡安全注冊技術審查指導原則》（原國家食品藥品監督管理總局2017年第13號通告）
3）《中華人民共和國計算機信息系統安全保護條例》（中華人民共和國國務院令第147號）
4）中華人民共和國互聯網信息辦公室《國家網絡安全事件應急預案》（中網辦發文〔2017〕4號）
5） GB/T 29246-2012 信息安全技術 信息安全管理體系概述和詞匯
6）GB/T 20984-2015 信息安全技術 信息安全風險評估規范
7） GB/T 22239-2019信息系統安全等級保護基本要求
8）GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要求
9）GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求
10） YY/T 0316-2016 醫療器械 風險管理對醫療器械的應用
11）IEC TR 80001-2-2-2012 包含醫療器械的IT網絡的風險管理應用.第2-2部分 醫療器械安全
12）ISO/IEC 27035 Information technology – Security techniques – Information security incident management
13）ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14）ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15）ISO/IEC 27043:2015 Information technology – Security techniques – Incident investigation principles and processes
16） ISO 27799 :2016 Health informatics—Information security management in health using ISO/IEC 27002
17）ISO/IEC 29147:2014 Information technology – Security techniques – Vulnerability disclosure
18）ISO/IEC 30111:2013 Information technology – Security techniques – Vulnerability handling processes
19）ISO/IEC TS 33052:2016 Information technology – Process reference model (PRM) for information security management
20）ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21）IEC/TR 80001-2-8:2016 Part 2-8: Application guidance – Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22）IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes ( IEC 62304 )
23）HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security
（公開屬性： 主動公開 ）
北京市藥品監督管理局辦公室 2019年8月19日 印發

The post 北京市藥品監督管理局關于醫療器械網絡安全審查指導原則實施指南征求意見的通知 first appeared on 信息安全咨詢公司.

The post 賽迪認證成為第三家CS資質認證評估機構 first appeared on 信息安全咨詢公司.