网络安全风险评估师 cybersecurity-risk-assessor

网络安全风险评估师技能是专门用于医疗器械领域的网络安全风险管理工具。它严格遵循美国食品药品监督管理局(FDA)的上市前和上市后网络安全指南以及IEC 81001-5-1国际标准,为医疗器械制造商提供全面的网络安全保障。该技能的核心功能包括:进行威胁建模(如STRIDE方法)、执行漏洞评估、生成软件物料清单(SBOM)、识别和规划安全控制措施、制定渗透测试方案、编制符合FDA要求的网络安全提交文档、分析设备攻击面、审查安全架构、规划协调漏洞披露流程、管理上市后网络安全风险以及制定补丁管理计划。它旨在将网络安全理念深度融入医疗器械的整个生命周期,从设计、开发、上市到退市,确保设备的安全性和合规性,有效防范网络攻击和数据泄露风险。 关键词:医疗器械网络安全,FDA网络安全指南,IEC 81001-5-1,威胁建模,漏洞评估,SBOM软件物料清单,渗透测试,安全控制,上市后管理,风险管理

医疗器械 0 次安装 0 次浏览 更新于 2/25/2026

name: 网络安全风险评估师 description: 根据FDA上市前和上市后指南进行医疗器械网络安全风险评估的技能 allowed-tools:

  • 读取
  • 写入
  • 全局搜索
  • 文本搜索
  • 编辑
  • Bash metadata: specialization: 生物医学工程 domain: 科学 category: 风险管理 skill-id: BME-SK-010

网络安全风险评估师技能

目的

网络安全风险评估师技能根据FDA指南和IEC 81001-5-1标准评估医疗器械的网络安全风险,支持威胁建模、漏洞评估和安全控制实施。

能力

  • 威胁建模(STRIDE方法)
  • 漏洞评估
  • SBOM(软件物料清单)生成
  • 安全控制识别
  • 渗透测试规划
  • FDA提交的网络安全文档编制
  • 攻击面分析
  • 安全架构审查
  • 协调漏洞披露规划
  • 上市后网络安全管理
  • 补丁管理规划

使用指南

何时使用

  • 评估设备网络安全风险时
  • 规划渗透测试时
  • 准备FDA网络安全提交材料时
  • 管理软件依赖项时

前提条件

  • 软件架构已记录
  • 网络连接已定义
  • 数据流已识别
  • 第三方组件已编目

最佳实践

  • 从设计之初就整合网络安全
  • 维护最新的SBOM
  • 规划整个生命周期的安全更新
  • 建立漏洞披露流程

流程整合

此技能整合到以下流程中:

  • 软件开发生命周期(IEC 62304)
  • 医疗器械风险管理(ISO 14971)
  • 510(k)上市前提交准备
  • 上市后监督系统实施

依赖项

  • FDA网络安全指南
  • IEC 81001-5-1标准
  • SBOM工具(CycloneDX, SPDX)
  • 漏洞数据库(NVD, CVE)
  • 威胁建模框架

配置

网络安全风险评估师:
  威胁建模方法:
    - STRIDE
    - PASTA
    - 攻击树
  SBOM格式:
    - CycloneDX
    - SPDX
  安全层级:
    - 第一层-较高
    - 第二层-标准
  控制框架:
    - NIST-CSF
    - IEC-62443

输出成果

  • 威胁模型
  • 漏洞评估报告
  • SBOM文档
  • 安全架构文档
  • 渗透测试计划
  • FDA网络安全提交材料
  • 安全控制矩阵
  • 补丁管理计划

质量标准

  • 识别所有威胁向量
  • 使用CVSS评分评估漏洞
  • SBOM完整且最新
  • 安全控制措施应对已识别的风险
  • 文档符合FDA要求
  • 已建立上市后安全计划