ICS11.040.50
中华人民共和国医药行业标准
YY/T1708.1—2020
医用诊断X射线影像设备连通性符合性基本要求第1部分：通用要求
Basic requirements of communication and comformancefor medical diagnosticX-ray image equipment-Part 1:General requirements2020-06-30发布
国家药品监督管理局
2021-06-01实施
YY/T1708.1—2020
规范性引用文件
术语和定义
通用要求
兼容性
可靠性
网络安全
维护性
可移植性
试验方法
兼容性
可靠性
网络安全
维护性
可移植性
附录A（资料性附录）
附录B（规范性附录）
附录C（规范性附录）
附录D（规范性附录）
附录E（资料性附录）
DICOM标准内容概述
产品网络安全能力声明模板
测试规范
设备连通性符合性测试工具基本要求部分条款说明
YY/T1708.1-—2020
YY/T1708《医用诊断X射线影像设备连通性符合性基本要求》分为如下部分：第1部分：通用要求；
第2部分：X射线计算机体层摄影设备；第3部分：数字化摄影X射线机（DR）；第4部分：数字减影血管造影X射线机(DSA)；第5部分：乳腺X射线机；
第6部分：口腔X射线机。
本部分为YY/T1708的第1部分。
本部分按照GB/T1.12009给出的规则起草。请注意本文件的某些内容可能会涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由国家药品监督管理局提出。本部分由全国医用电器标准化技术委员会医用X射线设备及用具分技术委员会（SAC/TC10）SC1归口。
本部分起草单位：辽宁省医疗器械检验检测院、国家药品监督管理局医疗器械技术审评中心、国家计算机网络应急技术处理协调中心本部分主要起草人：金玉博、彭亮、刘重生、邹潇湘、方喆君、卓子寒、孙智勇1
YY/T1708.1—2020
医用X射线影像设备连通性是一个广义的概念，它表达了医用X射线影像设备如何安全地、有效地存储及传输健康数据的能力。随着医用X射线影像设备应用场景的不断拓展，医用X射线影像设备在临床得到广泛应用，同一组射线诊断图像在不同的设备上的使用需求不断增强，医用X射线影像设备不论是单机使用，还是在局域网、广域网中使用，其软件组件的正确运行对于医用X射线影像设备的安全性、有效性至关重要。因此，本标准基于ISO12052：2017健康信息学一医学数学成像和通讯（DICOM）包括工作流程和数据管理（HealthinformaticsDigitalimagingand communicationinmedicine（DICOM）includingworkflowanddatamanagement）、IEC/TR80001-2-2：2012包含医疗设备的IT网络的风险管理应用第2-2部分医疗设备安全需求、风险和控制的披露和通报指南）（ApplicationofriskmanagementforIT-networks incorporatingmedicaldevices-Part 2-2:Guidance forthedisclosureandcommunicationofmedical device securityneeds，risksand controls)，GB/T25000.10—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型、GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则，给出了医用X射线影像设备及其相关软件组件连通性符合性的基本要求，包括了：兼容性、可靠性、网络安全、维护性、可移植性。对于兼容性的要求，本部分基于国际标准ISO12052标准中定义的DICOM协议的符合性，明确了医用X射线影像设备是否符合制造商所公布的DICOM符合性声明来验证其在临床应用中的互联互通性。Www.bzxZ.net
对于网络安全的要求，本部分基于IEC/TR80001-2-2，结合了医用X射线影像设备的特性，将医用X射线影像设备理解为一个网络中的节点本部分中各条款的要求基于医用X射线影像设备在健康的网络环境当中，对于网络环境的部署和安全评估，并不在本部分的要求范围内。1范围
医用诊断X射线影像设备连通性符合性基本要求第1部分：通用要求
YY/T1708.1-—2020
YY/T1708的本部分规定了医用诊断X射线影像设备及其相关软件组件连通性符合性的术语和定义、通用要求、试验方法。
本部分适用于具有可通过数字介质存储或通过网络传输健康数据功能的医用诊断X射线设备及其相关软件组件。
本部分不适用于不具备数字介质存储功能和通过网络传输健康数据功能的医用诊断X射线设备及其相关软件组件。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T10149医用X射线设备术语和符号软件工程软件产品质量要求与评价（SQuaRE）SQuaRE指南GB/T25000.12010
YY/T0316—2016医疗器械风险管理对医疗器械的应用IECTR80001-2-2:2012包含医疗设备的IT网络的风险管理应用第2-2部分医疗设备安全
需求、风险和控制的披露和通报指南（ApplicationofriskmanagementforIT-networksincorporatingmedical devices-Part 2-2:Guidance for the disclosure and communication of medical device securityneeds,risks and controls)
3术语和定义
GB/T10149界定的以及下列术语和定义适用于本文件。为了便于使用，以下列出了GB/T25000.1一2010、YY/T0316—2016、IECTR80001-2-2:2012的某些术语和定义。3.1
最终用户enduser
最终受益于系统结果的单独个体。[GB/T25000.1-2010.定义4.14]
健康数据
healthdata
表明身体或心理健康的隐私数据。注：医学影像是一种典型的健康数据。［IECTR80001-2-2:2012，定义3.7]3.3
privatedata
隐私数据
与已识别或可识别的个人相关的任何信息1
YY/T1708.1—2020
［IECTR80001-2-2.定义3.15]
intendeduse
预期用途
按照制造商提供的规范、说明书和信息，对产品、过程或服务的预期使用。［YY/T0316—2016，定义2.5]
制造商
manufacturer
对产品的设计、制造、包装或标记，对产品的组装，或对产品的改动负责的自然人或法人，不论这此活动是由其还是代表其的第三方执行。注：改写IEC60601-1：2012，定义3.55。4通用要求
4.1兼容性
DICOM符合性
制造商应提供DICOM（参见附录A中给出的ISO12052：2017中DICOM相关内容概述）符合性声明，并应至少包含下列信息：在符合性声明中，应说明SOP类所对应的软件版本信息。a)
在符合性声明中，应明确对于中文、英文及非英文的字符编码的支持种类及编码集。对于中b）
文字符集的支持，应列出所支持的数据名称及字符集，在符合性声明中，应明确记述产品唯一标识、产品名称及版本信息注1：医用X射线设备的DICOM符合性声明描述了其DICOM实现支持的SOP类，是医用X射线设备能否相互连通的重要参考。
注2：符合性声明允许使用者确定特定的医用诊断X射线影像设备支持DICOM标准的哪些可选部分，以及医用诊断X射线影像设备附加了哪些附加的扩展或专有的SOP类。使用者可以通过比较两个不同的医用诊断X射线影像设备的符合性声明，确定两者之间是否有通讯支持及支持程度，以便进行更恰当的医疗用途。注3：一个声称符合DICOM标准的医用诊断X射线影像设备不一定需要使用DICOM标准的所有可选择部分。在满足最低的通用要求的基础上，一个符合DICOM的医用X射线影像设备可能会使用完成既定任务所需的SOP类，通讯协议，介质应用框架文件，可选择（Type3）属性，编码及受控术语等。此外.DICOM标准允许一个医用X射线影像设备扩展或专有化DICOM定义的SOP类，以及定义私有SOP类。4.1.2
安全软件
如果产品可由用户进行软件安装的操作，制造商应规定产品与安全软件的兼容性，这样的规定应在随机文件中陈述，并应对制造商规定的安全软件进行兼容性验证（参见附录E）。注：安全软件一般包括杀毒软件、辅助安全软件和反流氓软件等。2可靠性
4.2.1容错性
当网络数据传输中断时，健康数据不应丢失。注：传输中断的可能原因，例如：网络异常、失去电源、使用者错误的操作、应用程序自身逻辑出错等4.2.2易恢复性
当数据传输过程中，若响应时间超出了通常的预期限度，应告知最终用户。2
YY/T1708.1—2020
注：系统响应超时的时间在是否合理的范围内，需要实际测试时对设备实际的应用场景进行评估。4.2.3数据丢失的防止
产品在随机文件陈述的正常工作条件下使用时，健康数据不应丢失。即使在下面的情况下健康数据也不应丢失：
利用的存储容量达到制造商规定的极限：试图利用超出制造商规定极限的存储容量；最终用户造成的非预期的输人（参见附录E）。4.3网络安全
保密性
存储保密性
制造商应在随机文件中陈述健康数据的存储是否被加密；若制造商提供了存储加密的手段，这种手段应是可用的（参见附录E)。
注：责任方根据当地法规要求通过控制设备的访问以确保数据保密性，并考虑本地数据存储保密的必要性。2传输保密性
当设备在进行网络数据传输时，应使用节点认证的方式（例如：白名单、用户名口令、证书等）：当设备预期在公用网络进行网络数据传输时，应提供确保传输过程中健康数据保密性的手段（参见附录E）。3患者隐私的保护
若健康数据可以被导出，尤其是包含了可能识别患者身份的隐私信息，应提供保护其隐私性的手段。
例如这样的隐私信息通常包括了：患者姓名；
患者地理位置信息；
患者联系方式；
—患者唯一标识；
患者照片。
数据的置名化功能属于保护患者隐私性的手段的一种。4.3.2完整性
产品应提供确保应用程序或数据只有在被授权时才能被访问的手段。注：一般情况下，产品具有基于角色的访间控制，在这样的机制当中，系统管理员级别的用户可对其他角色的用户进行可访间的授权，这样的授权功能允许每个用户只能访间被批准的应用程序或数据（参见附录E）。2产品应提供适当的技术手段用于防止未授权用户登录。若提供用户名口令，则用户名口令应4.3.2.2
充许用户设置高等级的口令和口令复杂度管理。用户可以根据医疗器械的使用需求和安全需求来决定口令管理策略，产品应支持一种或多种口令策略的配置方式，至少应允许管理员配置口令复杂度要求和口令过期时间。
注：这样的技术手段可能包括：用户名口令：
生物特征识别：
YY/T1708.1—2020
USB密钥设备：
一射频身份识别卡。
3产品应提供用户会话在预设的无操作时间之后自动锁定或注销的手段，被授权的管理员应能4.3.2.3
对这个时间进行设置。产品也应提供手动锁定的手段（参见附录E）。4.3.3可得性
产品应确保授权用户能够正常的访问数据若产品能够进行健康数据的本地存储，应提供手段以使得系统软件故障恢复后发生故障前存储的健康数据可获得，并应提供健康数据的备份和（或）归档、恢复的手段。4.3.3.3
如适用，制造商应在随机文件中规定推荐的健康数据备份和（或）归档的方法和周期注：例如通过将健康数据存储在非易失性介质或经由网络传输至数据归档系统来完成归档。如适用，在紧急情况下，用户应能通过紧急访问直接完成产品的预期医疗用途，而无需进行身4.3.3.43
份验证。同时：
这种紧急访问的行为应能被检测和记录；这种记录应符合审计控制（参见4.3.4.3)的要求。4.3.4审计
抗抵赖性
产品应提供实现有关于健康数据操作的抗抵赖性的手段。4.3.4.2
可核查性
健康数据应有唯一的标识，用于追溯数据的来源。3审计控制
产品应能够通过在设备上创建审计跟踪来记录和检查用户的行为。审计记录不应被修改或删除。若审计记录包含保密数据，则应保证审计记录的安全，只有授权用户才可以访问。需要追踪的行为至少应包括：
身份认证；
健康数据的查询、增加、删除、修改：健康数据的本地导人、导出；
通过网络的健康数据的发送或接收；紧急访间。
每个行为应至少包括的属性有日期、时间、用户、事件、事件是否成功。4.3.5
其他附加要求
物理防护
若产品有健康数据的存储功能，则应提供一种物理防护措施，防止对健康数据未经授权的访问。4.3.5.2
系统加固
如提供工作站，制造商应对产品实施系统加固，以保证预期用途的前提下，保证安全性的最大化，来防止非授权用户获得系统控制权限或敏感信息。如不提供工作站，应提供系统加固措施或建议。加固方式至少应包括：
防火墙设置；
端口关闭；
—服务禁用；
快捷键封闭；
操作系统、应用软件漏洞补丁安装。注：缴感信息指健康数据以及系统、软件、密码/口令等信息。4.3.5.3
网络安全能力声明
YY/T1708.1-—2020
制造商应在随机文件中至少给出按照附录B中要求的产品网络安全能力以及各用户角色在安全方面职责的声明内容。
4.4维护性
如制造商对产品提供安装或升级产品安全补丁的服务（包括OTS软件、自有软件），则应在随机文件中陈述和产品发布计划相应的维护服务可移植性
4.5.1如果用户能够实施安装或卸载产品，制造商应在随机文件中规定安装或卸载的方式，且应能按此方式正确的实施安装或卸载。4.5.2对于制造商声明的所有支持的系统配置，软件应用程序应能成功安装和正确运行。5
试验方法
5.1兼容性
DICOM符合性
通过以下两种方式的一种来验证是否符合要求。方法一：按附录C的测试规范说明.通过对制造商提供的DICOM符合性声明中所陈述的内容与产品进行验证，其结果应是正确的，且与产品实现一致。方法二：制造商提供DICOM符合性测试对应的测试文档集（参见GB/T25000.51一2016第6章），其中至少包括测试计划、测试用例（测试用例模板参见GB/T15532）、测试报告、测试工具的确认报告。测试使用的测试工具的基本要求，见附录D。DICOM符合性声明的内容应与测试文档集一致，DICOM符合性声明支持的特性应当由相应的测试报告予以支持。注：DICOM标准本身并未指定一套测试工具，也没有提供指导制造商或第三方测试机构的测试过程方法，但制造商有责任对产品的DICOM符合性进行验证（可参考IntegratingtheHealthcareEnterprise（IHE）的测试工具和测试用例）。因此，本部分提供了被广泛认可的DICOM符合性测试工具的基本要求，本部分不提供测试用例模板，也不对测试用例的模板进行要求。5.1.2安全软件
通过实际测试和检查文档来检验是否符合要求，见附录C，并参见附录E部分条款说明。5.2
2可靠性
5.2.1容错性
通过实际测试和检查文档来检验是否符合要求，见附录C。5
YY/T1708.1—2020
易恢复性
通过实际测试和检查文档来检验是否符合要求，见附录C。5.2.3
数据丢失的防止
通过实际测试和检查文档来检验是否符合要求，见附录C。5.3
网络安全
保密性
通过实际测试和检查文档来检验是否符合要求，见附录C。5.3.2
完整性
通过实际测试来检验是否符合要求，见附录C。可得性
通过实际测试和检查文档来检验是否符合要求，见附录C。5.3.4审计
通过检查来检验是否符合要求，见附录C。5.3.5
其他附加要求
物理防护
通过检查来检验是否符合要求，见附录C。5.3.5.2
系统加固
通过检查来检验是否符合要求，见附录C。5.3.5.3
网络安全能力声明
通过检查文档来检验是否符合要求，见附录C。5.4维护性
通过检查文档来检验是否符合要求，见附录C。5可移植性
通过实际测试和检查文档来检验是否符合要求，见附录C。6
附录A
（资料性附录）
DICOM标准内容概述
DICOM标准的文档结构和介绍如下：PS3.1：介绍和概述；
PS3.2：符合性；
PS3.3：信息对象定义；
PS3.4：服务类规范；
PS3.5：数据结构和编码；
PS3.6：数据字典；
PS3.7：消息交换；
PS3.8：支持消息交换的网络通信；PS3.9：失效；
PS3.10：媒介交换的介质存储和文件格式；PS3.11：媒介存储应用程序配置文件；PS3.12：格式和物理媒介；
PS3.13:失效；
PS3.14：灰度标准显示功能；
PS3.15：安全和系统管理配置文件；PS3.16：内容映射资源；
PS3.17：解释性信息；
PS3.18：Web服务；
PS3.19：应用程序托管；
PS3.20：使用HL7临床文档体系结构的影像报告。YY/T1708.1—2020
DICOM标准的这些部分是相关但独立的文件。本附录提供了每个部分的简要说明。PS3.2:符合性
DICOM标准的PS3.2定义了声明符合该标准的实现的原则。符合性要求：PS3.2规定了任何要求符合性的实施应满足的一般要求。它引用了标准其他部分的符合性部分。
符合性声明：PS3.2定义了符合性声明的结构。它规定了应在符合性声明中出现的信息它引用了标准其他部分的符合性声明部分。PS3.2没有指定测试/验证程序来评估实施是否符合标准。图A.1和图A.2描绘了网络通信和媒介交换的符合性声明的构建过程。符合性声明由以下部分组成：
该实现认可的集合的信息对象；该实现支持的服务类集合；