文件名称：Information technology security of in vitro diagnostic instruments and software systems； Approved standard—Second edition[ 体外诊断仪器 和软件系统信息技术安全；批准标准 ( 第二版 )]

发布日期：2014年10月

版本号：A2

主要内容：本文件为IVD 系统供应商和医疗机构之间就信息技术安全问题进行沟通交流提供了框架，主要内容包括：供应商和HCO责任描述、法规要求的相关技术设计指南( 防止未经授权使用应用程序、防止未经授权访问数据、保护免受恶意软件破坏、安全监测、防止数据丢失 )、流程和操作要求(IT 安全需求工程和管理、IT 安全危害分析和风险管理、供应商系统确认/ 验证、供应商安全审计/评估/测试、HCO文件、软件补丁 )、 设备类别适用性等。此外，本标准规定的部分要求、 规程和指南可能在技术上或经济上不适用于老旧IVD系统或HCO信息部门执行。鉴于此，供应商和HCO需有自己的最佳判断来决定实现什么。对于供应商和HCO来说，清楚地记录所有偏离标准的数据非常重要。本文件为体外诊断系统供应商和卫生保健组织之间的信息技术安全交流提供了框架，主要内容包括：供应商和卫生保健组织的责任描述、技术设计指南相关监管要求( 防止未经授权的应用程序访问、防止未经授权访问操作系统、防止未 经授权的数据访问、恶意软件防御、安全监控、 防止数据丢失、网络和云应用程序、移动设备上的体外诊断移动应用 )、流程和操作要求 [ 安全应 用程序开发生命周期、信息技术安全风险分析和风险管理、供应商系统确认/ 验证、供应商安全审 计/评估/测试、卫生保健组织文件、预防措施(软件补丁、病毒定义 )]、不同种类体外诊断系统的适用性需求( 所有体外诊断系统、支持用户账户的体外诊断系统、管理受保护的健康信息的体外诊断系统、支持网络连接的体外诊断系统、支持云应用的体外诊断系统、支持移动应用的体外诊断系统 ) 等。

适用范围：本标准规定了技术要求和操作要求，以及与医疗机构安装的IVD 系统(装置、分析仪器、数据管理系统等)信息技术安全有关的技术实施程序。本标准还提供了相关指导，以满足和使用现有的医疗设备信息技术 (IT) 安全的技术标准，建议确定实施要求的负责方。本标准适用于供应商(IVD 系统制造商)、用户 ( 例如实验室人员)以及医疗机构的 IT 管理人员。本标准不得用作医疗机构的最终书面政策。 例如，当地方组织需将医疗设备安全方面的技术和流程列入其文档时，要参考其他如国际标准化组织 (ISO)、电气与电子工程师协会 (IEEE) 等组 织的相关内容。本文件所列最佳范例是以本文发表时所处技术状态为依据。这些最佳范例不同于文本框中所列要求。本标准规定的部分要求、程序和指南在临床试验期间，IVD系统可不必遵守或强制遵守。在合同中，医疗机构和供应商应明确说明本标准在临床试验期间该如何使用。