网络安全事件应急响应管理办法
网络安全事件应急响应管理办法
编制
审核
批准
发布日期
文件更改控制记录
1.目的
指导和规范网络安全事件的应急响应工作,最大程度的减少或消除各类XX软件网络安全突发事件造成的损失和危害。
2.适用范围
适用于具有网络连接功能以进行电子数据交换的XX器件软件。
3.术语
网络安全事件:指因XX软件遭遇网络攻击而导致患者隐私被侵犯、产生了非预期运行的风险导致患者受到伤害或死亡的事件。
4.应急指挥机构
公司成立由管理者代表为组长,软件开发、生产、质量、客服、售后和注册法规等部门人员组成的应急指挥小组,负责对突发的网络安全事件进行应急指挥,协调工作,进行全面收集和报告,分析与应急处理。其具体职责如下:
注册法规部门:
负责组织有关部门评审网络安全事件。
跟踪各级监管部门对网络安全事件的审核意见,配合并推动有关工作。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
负责管理网络安全事件监测记录,负责对已处理完毕的网络安全事件记录进行保存,进行适当备份,避免意外丢失或者损毁。
组织开展网络安全监测工作相关法律法规、企业规章和相关知识的培训。
质量部门:
负责组织对网络安全事件的信息调查、分析、评价和控制。
对网络安全事件开展后续调查、分析、评价和再评价。
制定并实施风险控制措施。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
医学服务部门:
负责对网络安全事件进行临床医学方面的分析、风险分析和再评价。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
400客服部门:
公司 400 客服部门负责接收、搜集网络安全事件有关信息、并及时传递到相关部门。
产品负责人:
负责对网络安全事件的技术原因分析,制定相应的应急响应措施。
与质量部和售后服务部配合,对收到的网络安全事件信息进行调查、分析、评价和控制。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
XXX中心:
实施应急响应措施。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
XX服务部门:
将通过XX服务部门接收到的网络安全事件有关信息及时传递到相关部门。
与产品负责人和质量部配合,对收到的网络安全事件信息进行调查、分析、评价。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
管理者代表:
负责审核网络安全事件收集、报告、调查、分析、评价和控制过程。
配合XX监督管理部门和监测机构组织开展的网络安全事件调查。
5.监测、报告、预警
5.1.监测
通过公司网站、用户投诉、400 电话回访和售后回访等途径主动收集XX软件的网络安全事件,将信息来源传递给质量部门。
5.2.报告
(1)报告责任主体:
质量部门
产品负责人
管理者代表
(2)报告时限:
发现网络安全事件的,导致死亡的应当立即报告;
导致严重伤害、导致患者隐私数据被侵犯应当在1日内报告。
(3)报告内容:
网络安全事件发生情况,包括发生时间、软件运行环境、软件使用情况、使用人员资质、具体操作过程、患者伤害/数据侵犯情况、必要时与使用人员沟通,留下联络方式,报告内容应当真实、完整、准确。
5.3.应急响应措施
发生网络安全事件,结合XX软件的特性,产品负责人应制定相应的应急响应措施,包括但不仅限于如下列举的措施方式:
升级网络安全防护;
升级运行环境;
更新访问权限;
软件更新与替换;
软件卸载与销毁;
网络接口封闭隔离;
5.4.预警措施
通过网络安全事件的监测,发现存在可能危及人体健康和生命安全的不合理风险的XX软件,根据情况采取以下预防控制措施,并报告管理者代表:
(1)停止生产、销售相关产品;
(2)通知XX经营企业、使用单位暂停销售和使用;
(3)实施产品召回;
(4)发布风险信息;
(5)对生产质量管理体系进行自查,并对相关问题进行整改;
(6)修改说明书、标签、操作手册等;
(7)改进设计、产品技术要求等;
(8)开展XX软件再评价;
(9)按规定进行变更注册或者备案;
(10)其他需要采取的风险控制措施。
与用械安全相关的风险及处置情况,应当及时向社会公布。