14971和FDA要求的网络安全的风险管理文档，需要提交两份风险管理文档吗？

【答】是的。网络安全（Security）风险管理和基于ISO14791的安全（Safety）风险管理在伤害（harm）定义和可能性（Likelihood）定义方面存在差异，因此FDA要求单独开展两种风险管理，并提交两份风险管理报告。

请问老师，申请CE认证的网络安全测试需要依据哪些标准/法规呢？

【答】在“MDCG 2019-16 Rev.1

Guidance on Cybersecurity

for medical devices”中提到的网络安全测试方法

包括：

- security feature testing安全特性测试

- fuzz testing模糊测试

- vulnerability scanning漏洞扫描

- penetration testing渗透测试

如果使用FDA这套资料去国内提交（NMPA），国内的审评机构会接受吗？

【答】FDA对于网络安全的要求和国内的法规要求是基本一致的。如果资料可以满足FDA审评要求，应也可以满足国内审评要求。

FDA有要求按照哪些标准进行检测吗？

【答】FDA对于网络安全测试没有要求标准，更多的是对网络安全能力/设计本身有相应的一些标准要求，比如加密算法应采用FIPS-140-3或NIST Suite-B中支持的加密算法，通信协议应采用标准的加密传输协议TLS等。

FDA建议的4种网络安全测试都是对网络安全能力/设计进行验证。其中，渗透测试应由独立的具备相应技能的测试工程师来开展。

网络安全有类似电气安全或EMC的产品标准吗？测试合格即代表安全

【答】目前未见相关标准。

请问老师申请欧盟CEMDR认证，网络安全文档需要提供哪些？跟美国FDA有什么不同？

【答】国内，FDA和CE MDR对于网络安全的要求是基本一致的。

渗透测试和漏洞扫描要输出两份报告吗？还是说可以合并一份报告提交就可以了？

【答】渗透测试和漏洞扫描测试属于两种不同的测试方法，内容上应区分，且渗透测试应由独立的具备相应技能的测试工程师来开展。

渗透测试关注工程师的能力，这个怎么判断？

【答】渗透测试工程师的能力，包括工程师有一些国际认可的证书（如OSCP和CRTO等），是漏洞的发现者和贡献者，有过实际渗透测试的经验等。

联合使用第三方设备，对于网络安全需要进行哪些测试？是否一定要第三方设备的厂家亲自来进行测试？

【答】渗透测试的范围应包括整个系统（含联合使用的第三方设备）。通常，渗透测试工程师可以提供上门测试服务，第三方设备厂家可以不用在现场。如果渗透测试发现第三方设备存在严重的网络安全漏洞，可以让第三方设备厂家进行整改后再次测试。

请问FDA中全局系统观/多病人伤害观/可修补性视图/安全用例视图是必须的吗？这几个视图有没有相关标准呢？

【答】通常是必须的，除非能提供非常强的理由说明不需要。架构视图的撰写没有标准，但是需要图文并茂，把系统中的细节都暴露出来。

请问老师您提到的风险评估报告可以参考CVSS标准，可以简单讲一下这个标准具体是哪个吗？

【答】对于漏洞“可利用性（Exploitability）”的评估，FDA接受使用CVSS 3.1，NIST SP800-30，甚至是自定义方法。因为FDA也认为目前没有任何一种现成方法能够完全满足网络安全风险评估的特点，因此原封不动地照搬标准也是不建议的，需要企业结合产品的预期用途等，选择一种适合自己的方法来评估。

网络安全自测有什么标准或者方法可以参考吗？

【答】FDA建议的网络安全测试包括以下4种，前三种都可以是自测：

–Security Requirement Testing针对网络安全需求的测试

–Threat Mitigation 针对风险控制措施的验证

–Vulnerability Testing 漏洞测试

–Penetration Testing 渗透测试