問：醫療器械軟件的網絡安全漏洞評估有什么具體要求？

答：根據《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》規定的軟件安全性級別，網絡安全評估具有不同的要求，具體如下：

1）輕微級別：按照現行有效的通用漏洞評分系統（CVSS）所定義的漏洞等級，明確申報醫療器械（含必備軟件、外部軟件環境，下同）已知漏洞總數和已知剩余漏洞數。

2）中等級別：提供網絡安全漏洞自評報告，明確漏洞掃描所用軟件工具、漏洞庫（基于國家信息安全漏洞庫或互認的國際信息安全漏洞庫）的基本信息（如名稱、完整版本、發布日期、供應商等），按照CVSS漏洞等級明確申報醫療器械已知漏洞總數和已知剩余漏洞數，列明已知剩余漏洞的內容、對產品的影響及綜合剩余風險，確保產品綜合剩余風險均可接受。亦可補充網絡安全評估機構出具的網絡安全漏洞評估報告。

3）嚴重級別：提供網絡安全漏洞自評報告、網絡安全評估機構出具的網絡安全漏洞評估報告，明確已知剩余漏洞的維護方案，確保產品綜合剩余風險均可接受。

問：在醫院內部署的醫用軟件是否需要進行網絡安全風險分析？

答：根據《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械（包括體外診斷醫療器械）需提交相關網絡安全資料。

問：申報產品包含USB接口，僅提供數據讀取功能，是否需要提交網絡安全研究資料？

答：根據《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》，可通過非網絡接口的其他電子接口（如串口、并口、USB口、視頻接口、音頻接口，含調試接口、轉接接口）或存儲媒介（如光盤、移動硬盤、U盤）進行電子數據交換（包括單向、雙向數據傳輸）的第二、三類含有軟件組件的醫療器械，需要提交網絡安全研究資料。

問：是否所有用戶界面的軟件都需要軟件網絡安全風險分析？哪些網絡安全評估機構出具的網絡安全漏洞評估報告能夠被認可？

答：根據《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械（包括體外診斷醫療器械）需提交相關網絡安全資料。具有相關資質的網絡安全評估機構出具的網絡安全漏洞評估報告可以被認可。