网络安全
迈瑞对网络安全的态度将根植于保障医疗没备的稳定和对患者数据的保护。
透明可信、责任共担、不懈改进是迈瑞确保网络安全的三个重要原则。
我们的承诺
随着医疗行业对互联数字技术的依赖日益加深,网络安全风险也日益凸显。迈瑞始终致力于守护患者健康、强化医疗设备安全性并保护敏感数据。我们将隐私保护与网络安全融入产品全生命周期的每一个环节,以负责任的方式提供产品与服务,在创新中铸就更强的安全韧性。
我们的网络安全立场
{{positionList[0].title}}
迈瑞是先进的医疗设备和解决方案设计者、开发者和制造商,致力于让更多人分享优质生命关怀。自 1991 年成立以来,迈瑞专注于打造三条主要产品线:生命信息与支持(PMLS)、医学影像(MIS)和体外诊断(IVD)。迈瑞公司总部位于中国深圳,在全球超 40 个国家设有 64 家境外子公司,在全球有约 21,000 名员工负责为不同的医疗机构提供支持,为社会创造价值。本公司积极致力于创新,在全球设有 12 个研发中心并且将约 10% 的营业收入用于研发,在创新投资方面处于行业前列。
{{positionList[1].title}}
在迈瑞,透明可信是产品网络安全的重要原则。我们对网络安全的态度根植于保障医疗设备的安全稳定和对患者数据的保护中。在国际标准和最佳实践的指导下,我们透明可信、责任共担、不懈改进。
我们将“安全融入设计”和“隐私融入设计”嵌入到产品开发生命周期中,确保网络安全与隐私保护从概念阶段就根植于产品的基因之中,从而保障基本医疗服务的连续性,并维护数据机密性。
信任为合作之基,透明为立信之道。迈瑞以公开透明践行信任,让安全每一步都清晰可见。这让我们的客户决策更安心,因为深知其数据、设备与患者,均由一家看得见、信得过的合作伙伴全力守护。”
吴昊
总裁,迈瑞合规委员会委员
在迈瑞,安全已根植于我们的每一台设备的基因之中,即使在最严峻的医疗环境中,我们的设备依然需确保稳定性与可靠性。网络安全不仅是一项功能,更是推动我们设计、开发和部署每台医疗设备的核心原则。
李在文
高级副总裁,迈瑞合规委员会委员
Back to Privacy by Design
{{positionList[2].title}}
我们深知,公司强大的企业信息安全是建立和维护客户对我们和我们设备的信任的基础。只有被组织充分赋能、且被熏陶有安全使命感的员工才能成为能够支撑企业信息安全、守护客户信任的骨干力量,设计并提供安全可靠的服务和产品。
公司:战略防御
通过全面的事件响应机制和韧性基础设施,构筑企业坚实安全后盾。这确保了运营的稳定性,同时促进保障内部系统和数据方面的持续改进。
员工:获得赋能的强大保护者
通过接受安全实践和隐私标准方面的全方位培训,我们的员工坚持践行“安全第一”的文化并积极推广。
产品:安全创新
从设计到开发,将先进的安全功能融入到每一台医疗设备中,提供客户信任的可靠产品。
{{positionList[3].title}}
迈瑞认同并尊重法律法规、国际标准和认证等要求在确保高水平的产品质量、安全和网络安全方面的重要性和价值。
我们遵循的相关标准和要求包括但不限于 ANSI/AAMI SW96、ISO 14971、ISO 31000、IEC/TR 80001-2-2、FDA 上市前和上市后要求及指南、MDCG 2019-16、IMDRF 原则和实践、欧盟《通用数据保护条例(GDPR)、美国《健康保险可携性和责任法案》(HIPAA)和《中华人民共和国个人信息保护法》(PIPL)。
{{positionList[4].title}}
迈瑞认为,医疗保健和医疗设备行业的网络安全是一项共同的责任。医疗设备的互联特性要求制造商和医疗机构之间密切协作,以确保践行强有力的网络安全实践。
迈瑞产品网络安全模型
迈瑞通过“迈瑞产品网络安全模型”进行产品网络安全治理。该模型是一个内部开发的系统化框架,旨在确保我们的医疗设备得到全面的安全保护,指导并协调迈瑞不同团队和部门的网络安全工作。该模型基于 NIST 网络安全框架(CSF)的原则构建,涵盖六个核心要素:治理、识别、保护、检测、响应和恢复。基于这一权威框架,我们结合迈瑞实际情况形成了适配迈瑞产品的模型,以应对医疗设备行业的挑战和要求。
迈瑞产品网络安全模型
{{item.title}}
{{data}}
{{data.title}}
{{modelList[0].title}}
治理架构和政策
迈瑞通过精简战略决策和政策执行流程,建立了明确的问责机制和沟通渠道。
风险管理框架
科学的风险管理框架是迈瑞网络安全战略的基石,使我们能够在整个产品生命周期中以系统性方式识别、评估和缓解潜在的网络安全风险。
合规性监控
在迈瑞,合规性监控是我们网络安全战略的关键组成部分,旨在确保内部标准符合监管要求和行业期望。
{{modelList[1].title}}
安全融入设计
“安全融入设计”是迈瑞的基本理念,即从一开始就遵循安全原则和要求并将其融入产品开发的各个阶段。
安全编码实践和质量控制
基于“安全融入设计”的原则,我们根据国际电工委员会(IEC)标准、行业最佳实践和自身丰富的软件开发经验,建立了全面且系统的安全编码标准。
我们的安全编码标准涵盖编码的各个关键要素,包括输入验证、错误处理和身份认证等。
迈瑞强调持续改进,注重研发人员之间的知识共享。
安全评估和测试
结合安全编码实践,迈瑞也在定期进行安全评估和测试,以确保及时识别和解决潜在的漏洞,并对已实施的安全措施进行测试和验证。
{{modelList[2].title}}
访问控制
迈瑞的医疗设备配备基于角色的访问控制(RBAC)功能,用于根据组织内各用户的角色分配访问权限。这使得组织可以根据用户的操作需求仅向用户提供最低限度的访问权限,从而降低未授权访问文件或随意更改配置的风险。
系统加固和配置控制
系统加固是通过最小化攻击面来强化设备安全的另一种关键措施。迈瑞系统加固实践的核心要素可能因型号而异,但通常包括:操作系统(OS)加固指南、应用程序和进程白名单、防病毒和恶意软件程序、防火墙、禁用不必要的风险向量、Kiosk 模式、受控的操作系统和软件升级。
透明化信息共享
迈瑞坚持不懈地践行承诺,提高对设备中实施的安全措施的透明度。我们提高透明度的主要措施包括但不限于:网络安全白皮书、产品用户手册、制造商医疗器械安全披露声明(MDS2)、软件物料清单(SBOM)、协助制定部署计划。
{{modelList[3].title}}
上市后漏洞和补丁管理
迈瑞产品使用第三方操作系统(OS),诸如 Microsoft Windows 和 Linux。为了管理这些操作系统可能引入的安全风险,我们制定了全面的补丁管理策略,以持续监控相关漏洞,评估漏洞对我们设备的影响,并部署补丁以解决问题。
设备退役支持
当产品达到其使用寿命终点前,我们会主动向客户提供详细的生命周期终止(EOL)通知函。
迈瑞提供有关安全处置实践的现场指导或用户手册(诸如数据擦除操作指南),协助和支持医疗机构安全地实施设备退役。
事件管理
事件响应和支持
迈瑞成立了专门的团队来监督事件响应流程,并持续监控和研究可能影响我们设备的新事件。如果检测到安全事件或收到安全事件报告,这些团队将与业务部门协作以评估风险,制定响应计划并实施补救措施。我们制定了《网络安全事件响应指南》,确保在不同利益相关者之间采用标准化的统一方法。当需要进行监管报告时,我们与相关机构密切合作,确保信息传递的及时性与准确性。在整个过程中,我们与客户保持密切沟通,共同快速评估态势并实施补救措施,以最大限度降低影响、保障设备安全。
迈瑞的医疗设备具备网络安全事件期间仍能维持业务连续性的设计。虽然取决于具体设备能力,但某些设备采用数据回填、实时同步等机制,确保网络中断期间关键患者信息不丢失。一些设备还采用分层网络设计,可实现设备与医院网络间的风险隔离。此外,通过在冗余的有线和无线网络环境中运行,确保即使其中一台网络设备发生故障,其他设备也可以维持正常运行。
数据保护
隐私融入设计
迈瑞对标国际标准和行业最佳实践,建立了以风险为导向的信息安全与隐私保护合规管理体系。
迈瑞将“隐私融入设计”(Privacy by Design)和“默认隐私保护”(Privacy by Default)的核心原则融入到产品开发流程中。这些原则通过权限管理、日志记录、加密技术、去标识化/匿名化等基线指南,在产品早期概念与规划阶段即得以落实。
隐私影响评估
我们在产品开发过程中引入了“隐私影响评估”(PIA),以确保按照相关合规要求采取有效的控制措施。
我们还发布了 GDPR Whitepaper,该白皮书深入介绍迈瑞的公司治理、内部控制和个人数据处理机制,展现了我们对维护数据安全与隐私高标准的承诺。
数据加密
迈瑞采用行业公认的标准加密方法,保护传输中的数据和静态数据的安全。迈瑞的每条产品线都采用适合其自身设备设计和特定业务需求的协议和方法,确保所有数据都得到充分保护。
设备维护期间的数据处理
迈瑞为医疗机构提供维护期间安全数据管理的全面指导。 同时,我方人员遵循最小权限原则实行严格的访问控制。
