问:IVD类设备软件和网络安全的安全性级别该如何考虑?
答:软件安全性级别可结合软件的预期用途、使用场景、核心功能进行综合判定。软件安全性级别基于软件风险程度分为轻微、中等、严重三个级别,其中轻微级别即软件不可能产生伤害,中等级别即软件可能直接或间接产生轻微(不严重)伤害,严重级别即软件可能直接或间接产生严重伤害或导致死亡。申请人需结合IVD类设备的具体预期用途及可能导致的伤害综合判定产品风险和软件安全性级别,按照相应的软件安全性级别提交软件研究资料。
通常情形下,IVD类设备的网络安全性级别与所属设备的软件安全性级别相同;特殊情形下,网络安全的安全性级别可低于软件的安全性级别,此时需要详细描述具体理由。申请人应当按照相应的级别提供网络安全研究资料。在漏洞评估方面,网络安全严重级别除了应提供网络安全漏洞自评报告,还应提供有资质的网络安全评估机构出具的网络安全漏洞评估报告,明确已知剩余漏洞的维护方案,确保产品综合剩余风险均可接受。
IVD类设备安全性级别举例:预期用于胎儿染色体非整倍体筛查、肿瘤基因伴随诊断检测的基因测序仪类产品;预期用于血型检测及交叉配血等的仪器设备产品,其给出的辅助诊断结果有可能导致严重伤害或死亡,其软件应被视为严重级别。预期用于病原体基因检测和人类基因突变检测的PCR分析仪类产品,其软件应不低于中等级别。