YY/T 1708.1-2020 医用诊断X射线影像设备连通性符合性基本要求 第1部分：通用要求

ICS11.040.50

c43

中华人民共和国医药行业标准

YY/T1708.1-2020

医用诊断X射线影像设备连通性符合性

基本要求

第1部分：通用要求

Basicrequirementsofcommunicationandcomformanceformedicaldiagnostic

X-rayimageequipment-Part1:Generalrequirements

2020-06-30发布2021-06-01实施

国家药品监督管理局

发布

YY/T1708.1-2020

目次

前言…………………………I

引言…………………………E

1范围………………·

2规范性引用文件－

3术语和定义·

4通用要求··

4.1兼容性

4.2可靠性

4.3网络安全

4.4维护性

4.5可移植性

5试验方法…·

5.1兼容性

5.2可靠性

5.3网络安全

5.4维护性

5.5可移植性

附录AC资料性附录）DICOM标准内容概述…·

附录BC规范性附录）产品网络安全能力声明模板……………………16

附录c（规范性附录）测试规范…………四

附录DC规范性附录）设备连通性符合性测试工具基本要求…………23

附录EC资料性附录）部分条款说明……………………24

YY/T1708.1-2020

目。吕

YY/T1708《医用诊断X射线影像设备连通性符合性基本要求》分为如下部分：

第1部分：通用要求；

一一第2部分：X射线计算机体层摄影设备；

第3部分：数字化摄影X射线机CDR);

第4部分：数字减影血管造影X射线机CDSA);

一一第5部分：乳腺X射线机；

一一第6部分：口腔X射线机。

本部分为YY/T1708的第1部分。

本部分按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能会涉及专利。本文件的发布机构不承担识别这些专利的责任。

本部分由国家药品监督管理局提出。

本部分由全国医用电器标准化技术委员会医用X射线设备及用具分技术委员会CSAC/TC10/

SC1)归口。

本部分起草单位：辽宁省医疗器械检验检测院、国家药品监督管理局医疗器械技术审评中心、国家

计算机网络应急技术处理协调中心。

本部分主要起草人：金玉博、彭亮、刘重生、邹潇湘、方苗君、丰子寒、孙智勇。

I

YY/T1708.1-2020

引

医用X射线影像设备连通性是一个广义的概念，它表达了医用X射线影像设备如何安全地、有效

地存储及传输健康数据的能力。

随着医用X射线影像设备应用场景的不断拓展，医用X射线影像设备在临床得到广泛应用，同一

组X射线诊断图像在不同的设备上的使用需求不断增强，医用X射线影像设备不论是单机使用，还是

在局域网、广域网中使用，其软件组件的正确运行对于医用X射线影像设备的安全性、有效性至关重

要。因此，本标准基于ISO12052:2017健康信息学一医学数字成像和通讯CDICOM）包括工作流程和

数据管理（Healthinformatics-DigitalimagingandcommunicationinmedicineCDICOM)including

workflowanddatamanagement）、IEC/TR8000122:2012包含医疗设备的IT网络的风险管理应用

第22部分医疗设备安全需求、风险和控制的披露和通报指南）(Applicationofriskmanagementfor

IT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureand

communicationofmedicaldevicesecuritynee巾，risksandcontrols）、GB/T25000.102016系统与

软件工程系统与软件质量要求和评价CSQuaRE)第10部分：系统与软件质量模型、GB/T25000.51

2016系统与软件工程系统与软件质量要求和评价CSQuaRE)第51部分：就绪可用软件产品

CRUSP）的质量要求和测试细则，给出了医用X射线影像设备及其相关软件组件连通性符合性的基本

要求，包括了：兼容性、可靠性、网络安全、维护性、可移植性。

对于兼容性的要求，本部分基于国际标准ISO12052标准中定义的DICOM协议的符合性，明确了

医用X射线影像设备是否符合制造商所公布的DICOM符合性声明来验证其在临床应用中的互联

互通性。

对于网络安全的要求，本部分基于IEC/TR8000122，结合了医用X射线影像设备的特性，将医用

X射线影像设备理解为一个网络中的节点。

本部分中各条款的要求基于医用X射线影像设备在健康的网络环境当中，对于网络环境的部署和

安全评估，并不在本部分的要求范围内。

II

YY/T1708.1-2020

医用诊断X射线影像设备连通性符合性

基本要求第1部分：通用要求

1范围

YY/T1708的本部分规定了医用诊断X射线影像设备及其相关软件组件连通性符合性的术语和

定义、通用要求、试验方法。

本部分适用于具有可通过数字介质存储或通过网络传输健康数据功能的医用诊断X射线设备及

其相关软件组件。

本部分不适用于不具备数字介质存储功能和通过网络传输健康数据功能的医用诊断X射线设备

及其相关软件组件。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T10149医用X射线设备术语和符号

GB/T25000.1-2010软件工程软件产品质量要求与评价CSQuaRE)SQuaRE指南

YY/T03162016医疗器械风险管理对医疗器械的应用

IECTR8000122:2012包含医疗设备的IT网络的风险管理应用第22部分医疗设备安全

需求、风险和控制的披露和通报指南（ApplicationofriskmanagementforIT-networksi盯orporating

medicaldevicesPart22:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurity

needs,risksandcontrols)

3术语和定义

GB/T10149界定的以及下列术语和定义适用于本文件。为了便于使用，以下列出了GB/T25000.l-

2010、YYIT0316-2016、IECTR80001-2-2:2012的某些术语和定义。

3.1

最终用户enduser

最终受益于系统结果的单独个体。

[GB/T25000.l2010，定义4.14]

3.2

健康数据healthdata

表明身体或心理健康的隐私数据。

注：医学影像是一种典型的健康数据。

[IECTR80001-2-2:2012，定义3.7]

3.3

隐私数据privatedata

与已识别或可识别的个人相关的任何信息

YY/T1708.1-2020

[IECTR8000122，定义3.15]

3.4

预期用途intendeduse

按照制造商提供的规范、说明书和信息，对产品、过程或服务的预期使用。

[YY/T0316-2016，定义2.5]

3.5

制造商manufacturer

对产品的设计、制造、包装或标记，对产品的组装，或对产品的改动负责的自然人或法人，不论这些

活动是由其还是代表其的第三方执行。

注：改写IEC60601-1:2012，定义3.55。

4通用要求

4.1兼容性

4.1.1DICOM符合性

制造商应提供DICOMC参见附录A中给出的ISO12052:2017中DICOM相关内容概述）符合性

声明，并应至少包含下列信息：

a)在符合性声明中，应说明SOP类所对应的软件版本信息。

b)在符合性声明中，应明确对于中文、英文及非英文的字符编码的支持种类及编码集。对于中

文字符集的支持，应列出所支持的数据名称及字符集。

c)在符合性声明中，应明确记述产品唯一标识、产品名称及版本信息。

注1：医用X射线设备的DICOM符合性声明描述了其DICOM实现支持的SOP类，是医用X射线设备能否相互

连通的重要参考。

注2：符合性声明允许使用者确定特定的医用诊断X射线影像设备支持DICOM标准的哪些可选部分，以及医用

诊断X射线影像设备附加了哪些附加的扩展或专有的SOP类。使用者可以通过比较两个不同的医用诊断

X射线影像设备的符合性声明，确定两者之间是否有通讯支持及支持程度，以便进行更恰当的医疗用途。

注3：一个声称符合DICOM标准的医用诊断X射线影像设备不一定需要使用DICOM标准的所有可选择部分。

在满足最低的通用要求的基础上，一个符合DICOM的医用X射线影像设备可能会使用完成既定任务所需

的SOP类，通讯协议，介质应用框架文件，可选择CType3）属性，编码及受控术语等。此外，DICOM标准允许

一个医用X射线影像设备扩展或专有化DICOM定义的SOP类，以及定义私有SOP类。

4.1.2安全软件

如果产品可由用户进行软件安装的操作，制造商应规定产品与安全软件的兼容性，这样的规定应在

随机文件中陈述，并应对制造商规定的安全软件进行兼容性验证（参见附录E）。

注：安全软件一般包括杀毒软件、辅助安全软件和反流氓软件等。

4.2可靠性

4.2.1容错性

当网络数据传输中断时，健康数据不应丢失。

注：传输中断的可能原因，例如：网络异常、失去电源、使用者错误的操作、应用程序自身逻辑出错等。

4.2.2易恢复性

当数据传输过程中，若响应时间超出了通常的预期限度，应告知最终用户。

2

YY/T1708.1-2020

注：系统响应超时的时间在是否合理的范围内，需要实际测试时对设备实际的应用场景进行评估。

4.2.3数据丢失的防止

产品在随机文件陈述的正常工作条件下使用时，健康数据不应丢失。即使在下面的情况下健康数

据也不应丢失：

一一利用的存储容量达到制造商规定的极限；

试图利用超出制造商规定极限的存储容量；

一一最终用户造成的非预期的输入（参见附录E）。

4.3网络安全

4.3.1保密性

4.3.1.1存储保密性

制造商应在随机文件中陈述健康数据的存储是否被加密；若制造商提供了存储加密的手段，这种手

段应是可用的（参见附录£）。

注：责任方根据当地法规要求通过控制设备的访问以确保数据保密性，并考虑本地数据存储保密的必要性。

传输保密性

当设备在进行网络数据传输时，应使用节点认证的方式（例如：白名单、用户名口令、证书等）；当设

备预期在公用网络进行网络数据传输时，应提供确保传输过程中健康数据保密性的手段（参见附录E）。

患者隐私的保护

若健康数据可以被导出，尤其是包含了可能识别患者身份的隐私信息，应提供保护其隐私性的

手段。

例如这样的隐私信息通常包括了：

一一患者姓名；

患者地理位置信息；

一一患者联系方式；

患者唯一标识；

一一患者照片。

数据的匿名化功能属于保护患者隐私性的手段的一种。

4.3.2完整性

产品应提供确保应用程序或数据只有在被授权时才能被访问的手段。

注：一般情况下，产品具有基于角色的访问控制，在这样的机制当中，系统管理员级别的用户可对其他角色的用户

进行可访问的授权，这样的授权功能允许每个用户只能访问被批准的应用程序或数据（参见附录£）。

产品应提供适当的技术手段用于防止未授权用户登录。若提供用户名口令，则用户名口令应

允许用户设置高等级的口令和口令复杂度管理。用户可以根据医疗器械的使用需求和安全需求来决定

口令管理策略，产品应支持一种或多种口令策略的配置方式，至少应允许管理员配置口令复杂度要求和

口令过期时间。

注：这样的技术手段可能包括：

用户名口令；

生物特征识别；

3

YY/T1708.1-2020

一－USE密钥设备；

一一射频身份识别卡。

产品应提供用户会话在预设的无操作时间之后自动锁定或注销的手段，被授权的管理员应能

对这个时间进行设置。产品也应提供于动锁定的手段（参见附录E）。

4.3.3可得性

产品应确保授权用户能够正常的访问数据。

若产品能够进行健康数据的本地存储，应提供于段以使得系统软件故障恢复后发生故障前存

储的健康数据可获得，并应提供健康数据的备份和（或）归档、恢复的手段。

如适用，制造商应在随机文件中规定推荐的健康数据备份和（或）归档的方法和周期。

注：例如通过将健康数据存储在非易失性介质或经由网络传输至数据归档系统来完成归挡。

如适用，在紧急情况下，用户应能通过紧急访问直接完成产品的预期医疗用途，而无需进行身

份验证。同时：

一一这种紧急访问的行为应能被检测和记录；

这种记录应符合审计控制（参见）的要求。

4.3.4审计

4.3.4.1抗抵赖性

产品应提供实现有关于健康数据操作的抗抵赖性的手段。

可核查性

健康数据应有唯一的标识，用于追溯数据的来源。

审计控制

产品应能够通过在设备上创建审计跟踪来记录和检查用户的行为。审计记录不应被修改或删除。

若审计记录包含保密数据，则应保证审计记录的安全，只有授权用户才可以访问。

需要追踪的行为至少应包括：

一一身份认证；

健康数据的查询、增加、删除、修改；

一一健康数据的本地导人、导出；

通过网络的健康数据的发送或接收；

一一紧急访问。

每个行为应至少包括的属性有日期、时间、用户、事件、事件是否成功。

4.3.5其他附加要求

物理防护

若产品有健康数据的存储功能，则应提供一种物理防护措施，防止对健康数据未经授权的访问。

系统加固

如提供工作站，制造商应对产品实施系统加固，以保证预期用途的前提下，保证安全性的最大化，来

防止非授权用户获得系统控制权限或敏感信息。如不提供工作站，应提供系统加固措施或建议。

加固方式至少应包括：

4

YY/T1708.1-2020

防火墙设置；

端口关闭；

一一服务禁用；

一一快捷键封闭；

操作系统、应用软件漏洞补丁安装。

注：敏感信息指健康数据以及系统、软件、密码／口令等信息。

网络安全能力声明

制造商应在随机文件中至少给出按照附录B中要求的产品网络安全能力以及各用户角色在安全

方面职责的声明内容。

4.4维护性

如制造商对产品提供安装或升级产品安全补丁的服务（包括OTS软件、自有软件），则应在随机文

件中陈述和产品发布计划相应的维护服务。

4.5可移植性

4.5.1如果用户能够实施安装或卸载产品，制造商应在随机文件中规定安装或卸载的方式，且应能按

此方式正确的实施安装或卸载。

4.5.2对于制造商声明的所有支持的系统配置，软件应用程序应能成功安装和正确运行。

5试验方法

5.1兼容性

5.1.1DICOM符合性

通过以下两种方式的一种来验证是否符合要求。

方法一：按附录C的测试规范说明，通过对制造商提供的DICOM符合性声明中所陈述的内容与产

品进行验证，其结果应是正确的，且与产品实现一致。

方法二：制造商提供DICOM符合性测试对应的测试文档集（参见GB/T25000.51-2016第6章），

其中至少包括测试计划、测试用例（测试用例模板参见GB/T15532）、测试报告、测试工具的确认报告。

测试使用的测试工具的基本要求，见附录D。DICOM符合性声明的内容应与测试文档集一致，DICOM

符合性声明支持的特性应当由相应的测试报告予以支持。

注：DICOM标准本身并未指定一套测试工具，也没有提供指导制造商或第三方测试机构的测试过程方法，但制造

商有责任对产品的DICOM符合性进行验证（可参考IntegratingtheHealthcareEnterpriseCIHE）的测试工具

和测试用例）。因此，本部分提供了被广泛认可的DICOM符合性测试工具的基本要求，本部分不提供测试用

例模板，也不对测试用例的模板进行要求。

5.1.2安全软件

通过实际测试和检查文档来检验是否符合要求，见附录C，并参见附录E部分条款说明。

5.2可靠性

5.2.1容错性

通过实际测试和检查文档来检验是否符合要求，见附录C。

5

YY/T1708.1-2020

5.2.2易恢复性

通过实际测试和检查文档来检验是否符合要求，见附录C。

5.2.3数据丢失的防止

通过实际测试和检查文档来检验是否符合要求，见附录C。

5.3网络安全

5.3.1保密性

通过实际测试和检查文档来检验是否符合要求，见附录C。

5.3.2完整性

通过实际测试来检验是否符合要求，见附录C。

5.3.3可得性

通过实际测试和检查文档来检验是否符合要求，见附录C。

5.3.4审计

通过检查来检验是否符合要求，见附录C。

5.3.5其他附加要求

物理防护

通过检查来检验是否符合要求，见附录C。

系统加固

通过检查来检验是否符合要求，见附录C。

网络安全能力声明

通过检查文档来检验是否符合要求，见附录C。

5.4维护性

通过检查文档来检验是否符合要求，见附录C。

5.5可移植性

通过实际测试和检查文档来检验是否符合要求，见附录C。

6

YY/T1708.1-2020

附录A

（资料性附录）

DICOM标准内容概述

A.1概述

DICOM标准的文档结构和介绍如下：

PS3.1：介绍和概述；

PS3.2：符合性；

PS3.3：信息对象定义；

PS3.4：服务类规范；

PS3.5：数据结构和编码；

PS3.6：数据字典；

PS3.7：消息交换；

PS3.8：支持消息交换的网络通信；

PS3.9：失效；

PS3.10：媒介交换的介质存储和文件格式；

PS3.11：媒介存储应用程序配置文件；

PS3.12：格式和物理媒介；

PS3.13：失效；

PS3.14：灰度标准显示功能；

PS3.15：安全和系统管理配置文件；

PS3.16：内容映射资源；

PS3.17：解释性信息；

PS3.18:Web服务；

PS3.19：应用程序托管；

PS3.20：使用HL7ii白床文档体系结构的影像报告。

DICOM标准的这些部分是相关但独立的文件。本附录提供了每个部分的简要说明。

A.2PS3.2：符合性

DICOM标准的PS3.2定义了声明符合该标准的实现的原则。

符合性要求：PS3.2规定了任何要求符合性的实施应满足的一般要求。它引用了标准其

他部分的符合性部分。

符合性声明：PS3.2定义了符合性声明的结构。它规定了应在符合性声明中出现的信息。

它引用了标准其他部分的符合性声明部分。

PS3.2没有指定测试／验证程序来评估实施是否符合标准。

图A.1和图A.2描绘了网络通信和媒介交换的符合性声明的构建过程。符合性声明由以

下部分组成：

一一该实现认可的集合的信息对象；

一一该实现支持的服务类集合；