提交 eSTAR 510(k) 申请时，必须提交 12 个网络安全附件。我们总结了开发网络安全器械的流程。这些文件自然会产生： 

1.网络安全风险管理报告： 

概述在整个产品生命周期中识别、评估和降低网络安全风险的过程和结果。

2.威胁模型： 

一种结构化分析，用于识别器械及其环境中潜在的安全威胁和漏洞。

3.网络安全风险评估： 

详细描述已识别的风险、控制措施、风险评分方法、验收标准以及与安全风险评估的联系。

4.SBOM（软件物料清单）： 

所有软件组件（包括第三方和开源组件）的综合清单，以确定漏洞和依赖性。

5.软件支持级别： 

确定不在制造商控制范围内的第三方组件的已知支持期限；如果某个组件在产品生命周期内得不到支持，则需要制定计划。

6.漏洞的安全和安保评估： 

详细分析说明如何管理已识别的网络安全漏洞，以确保安全和保安。

7.未解决的异常情况： 

一份记录在案的已知但尚未解决的问题清单，这些问题来自制造商控制范围之外的组件，通常是第三方组件，涵盖这些问题对产品的影响，如果有影响，如何减轻影响，包括风险评估和产品发布的理由。

8.网络安全指标： 

证明网络安全控制和流程有效性的指标，以确保制造商有效处理上市后的网络安全问题和事故。

9. 网络安全控制： 

描述为保护器械免受网络安全威胁而实施的技术和程序措施。

10. 安全架构视图： 

器械安全架构的高级图表和说明，显示安全控制是如何集成的。

11. 网络安全测试文件：

全面测试的证据，包括渗透测试、漏洞扫描和模拟攻击条件下的性能评估。

12. 网络安全管理计划： 

详细说明发布设备后如何识别、交流和纠正漏洞。