Health informatics — Device interoperability — Part 40101: Foundational — Cybersecurity — Processes for vulnerability assessment

Within the context of secure plug-and-play interoperability, cybersecurity is the process and capability of preventing unauthorized access or modification, misuse, denial of use, or the unauthorized use of information that is stored on, accessed from, or transferred to and from a PHD/PoCD. The process part of cybersecurity is risk analysis of use cases specific to a PHD/PoCD. For PHDs/PoCDs, this standard defines an iterative, systematic, scalable, and auditable approach to identification of cybersecurity vulnerabilities and estimation of risk. This iterative vulnerability assessment uses the Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded Common Vulnerability Scoring System (eCVSS). The assessment includes system context, system decomposition, pre-mitigation scoring, mitigation, and post-mitigation scoring and iterates until the remaining vulnerabilities are reduced to an acceptable level of risk.

Informatique de santé — Interopérabilité des dispositifs — Partie 40101: Fondamentaux — Cybersécurité — Processus pour l'évaluation de la vulnérabilité

Dans le contexte de l'interopérabilité sécurisée de type prêt à l'emploi, la cybersécurité est le processus et la capacité d'empêcher l'accès ou la modification non autorisés, l'utilisation abusive, le déni d'utilisation ou l'utilisation non autorisée des informations qui sont stockées sur un PHD/PoCD, accessibles depuis celui-ci ou transférées vers et depuis celui-ci. La partie processus de la cybersécurité est l'analyse des risques des cas d'utilisation spécifiques à un PHD/PoCD. Pour les PHD/PoCD, la présente norme définit une approche itérative, systématique, évolutive et auditable de l'identification des vulnérabilités en matière de cybersécurité et l'estimation des risques. Cette évaluation itérative des vulnérabilités utilise le schéma de classification STRIDE (usurpation d'identité, falsification, répudiation, divulgation d'informations, déni de service, élévation du privilège) et le Système d'évaluation des vulnérabilités courantes intégré (eCVSS). L'évaluation comprend le contexte du système, la décomposition du système, la notation avant atténuation, l'atténuation et la notation après atténuation et se répète jusqu'à ce que les vulnérabilités restantes soient réduites à un niveau de risque acceptable.

General Information

Status
Published
Publication Date
16-Mar-2022
Current Stage
Ref Project

Buy Standard

Standard
ISO/IEEE 11073-40101:2022 - Health informatics — Device interoperability — Part 40101: Foundational — Cybersecurity — Processes for vulnerability assessment Released:3/17/2022
English language
38 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
REDLINE ISO/IEEE 11073-40101:2022 - Health informatics — Device interoperability — Part 40101: Foundational — Cybersecurity — Processes for vulnerability assessment Released:17. 08. 2022
French language
44 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEEE 11073-40101:2022 - Health informatics — Device interoperability — Part 40101: Foundational — Cybersecurity — Processes for vulnerability assessment Released:17. 08. 2022
French language
44 pages
sale 15% off
Preview
sale 15% off
Preview
Draft
ISO/IEEE FDIS 11073-40101 - Health informatics -- Device interoperability
English language
38 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO/IEEE
STANDARD 11073-40101
First edition
2022-03
Health informatics — Device
interoperability —
Part 40101:
Foundational — Cybersecurity
— Processes for vulnerability
assessment
Informatique de santé — Interopérabilité des dispositifs —
Partie 40101: Fondamentaux — Cybersécurité — Processus pour
l'évaluation de la vulnérabilité
Reference number
ISO/IEEE 11073-40101:2022(E)
© IEEE 2021
---------------------- Page: 1 ----------------------
ISO/IEEE 11073-40101:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© IEEE 2021

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on

the internet or an intranet, without prior written permission. Permission can be requested from IEEE at the address below.

Institute of Electrical and Electronics Engineers, Inc
3 Park Avenue, New York
NY 10016-5997, USA
Email: stds.ipr@ieee.org
Website: www.ieee.org
Published in Switzerland
© IEEE 2021 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEEE 11073-40101:2022(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO

collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted (see www.iso.org/directives).

IEEE Standards documents are developed within the IEEE Societies and the Standards Coordinating

Committees of the IEEE Standards Association (IEEE-SA) Standards Board. The IEEE develops its

standards through a consensus development process, approved by the American National Standards

Institute, which brings together volunteers representing varied viewpoints and interests to achieve the

final product. Volunteers are not necessarily members of the Institute and serve without compensation.

While the IEEE administers the process and establishes rules to promote fairness in the consensus

development process, the IEEE does not independently evaluate, test, or verify the accuracy of any of the

information contained in its standards.

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any

patent rights identified during the development of the document will be in the Introduction and/or on

the ISO list of patent declarations received (see www.iso.org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the World

Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see

www.iso.org/iso/foreword.html.

ISO/IEEE 11073-40101 was prepared by the IEEE 11073 Standards Committee of the IEEE Engineering

in Medicine and Biology Society (as IEEE Std 11073-40101-2020) and drafted in accordance with its

editorial rules. It was adopted, under the “fast-track procedure” defined in the Partner Standards

Development Organization cooperation agreement between ISO and IEEE, by Technical Committee

ISO/TC 215, Health informatics.

A list of all parts in the ISO/IEEE 11073 series can be found on the ISO website.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www.iso.org/members.html
© IEEE 2021 – All rights reserved iii
---------------------- Page: 3 ----------------------
IEEE Std 11073-40101™-2020
Health informatics—Device interoperability
Part 40101:
Foundational—Cybersecurity—
Processes for vulnerability assessment
Developed by the
IEEE 11073 Standards Committee
of the
IEEE Engineering in Medicine and Biology Society
Approved 24 September 2020
IEEE SA Standards Board
---------------------- Page: 4 ----------------------
ISO/IEEE 11073-40101:2022(E)

Abstract: For Personal Health Devices (PHDs) and Point-of-Care Devices (PoCDs), an iterative,

systematic, scalable, and auditable approach to identification of cybersecurity vulnerabilities and

estimation of risk is defined by this standard. The standard presents one approach to iterative

vulnerability assessment that uses the Spoofing, Tampering, Repudiation, Information Disclosure,

Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded

Common Vulnerability Scoring System (eCVSS). The assessment includes system context, system

decomposition, pre-mitigation scoring, mitigation, and post-mitigation scoring and iterates until the

remaining vulnerabilities are reduced to an acceptable level of risk.

Keywords: cybersecurity, embedded Common Vulnerability Scoring System, IEEE 11073-40101™,

medical device communication, Personal Health Devices, Point-of-Care Devices, STRIDE,

vulnerability assessment
The Institute of Electrical and Electronics Engineers, Inc.
3 Park Avenue, New York, NY 10016-5997, USA
Copyright © 2021 by The Institute of Electrical and Electronics Engineers, Inc.

All rights reserved. Published 8 January 2021. Printed in the United States of America.

IEEE is a registered trademark in the U.S. Patent & Trademark Office, owned by The Institute of Electrical and Electronics

Engineers, Incorporated.

Microsoft and Excel are registered trademarks of Microsoft Corporation in the United States and/or other countries.

Open Web Application Security Project and OWASP are registered trademarks of the OWASP Foundation, Inc.

PDF: ISBN 978-1-5044-7086-5 STD24423
Print: ISBN 978-1-5044-7087-2 STDPD24423
IEEE prohibits discrimination, harassment, and bullying.

For more information, visit https://www.ieee.org/about/corporate/governance/p9-26.html.

No part of this publication may be reproduced in any form, in an electronic retrieval system or otherwise, without the prior written permission

of the publisher.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 5 ----------------------
ISO/IEEE 11073-40101:2022(E)
Important Notices and Disclaimers Concerning IEEE Standards Documents

IEEE Standards documents are made available for use subject to important notices and legal disclaimers.

These notices and disclaimers, or a reference to this page (https://standards.ieee.org/ipr/disclaimers.html),

appear in all standards and may be found under the heading “Important Notices and Disclaimers Concerning

IEEE Standards Documents.”
Notice and Disclaimer of Liability Concerning the Use of IEEE Standards
Documents

IEEE Standards documents are developed within the IEEE Societies and the Standards Coordinating

Committees of the IEEE Standards Association (IEEE SA) Standards Board. IEEE develops its standards

through an accredited consensus development process, which brings together volunteers representing varied

viewpoints and interests to achieve the final product. IEEE Standards are documents developed by volunteers

with scientific, academic, and industry-based expertise in technical working groups. Volunteers are not

necessarily members of IEEE or IEEE SA, and participate without compensation from IEEE. While IEEE

administers the process and establishes rules to promote fairness in the consensus development process,

IEEE does not independently evaluate, test, or verify the accuracy of any of the information or the soundness

of any judgments contained in its standards.

IEEE makes no warranties or representations concerning its standards, and expressly disclaims all warranties,

express or implied, concerning this standard, including but not limited to the warranties of merchantability,

fitness for a particular purpose and non-infringement. In addition, IEEE does not warrant or represent that

the use of the material contained in its standards is free from patent infringement. IEEE standards documents

are supplied “AS IS” and “WITH ALL FAULTS.”

Use of an IEEE standard is wholly voluntary. The existence of an IEEE Standard does not imply that there

are no other ways to produce, test, measure, purchase, market, or provide other goods and services related to

the scope of the IEEE standard. Furthermore, the viewpoint expressed at the time a standard is approved and

issued is subject to change brought about through developments in the state of the art and comments received

from users of the standard.

In publishing and making its standards available, IEEE is not suggesting or rendering professional or other

services for, or on behalf of, any person or entity, nor is IEEE undertaking to perform any duty owed by any

other person or entity to another. Any person utilizing any IEEE Standards document, should rely upon his

or her own independent judgment in the exercise of reasonable care in any given circumstances or, as

appropriate, seek the advice of a competent professional in determining the appropriateness of a given IEEE

standard.
IN NO EVENT SHALL IEEE BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO: THE
NEED TO PROCURE SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
OTHERWISE) ARISING IN ANY WAY OUT OF THE PUBLICATION, USE OF, OR RELIANCE UPON
ANY STANDARD, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE AND
REGARDLESS OF WHETHER SUCH DAMAGE WAS FORESEEABLE.
Translations

The IEEE consensus development process involves the review of documents in English only. In the event

that an IEEE standard is translated, only the English version published by IEEE is the approved IEEE

standard.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 6 ----------------------
ISO/IEEE 11073-40101:2022(E)
Official statements

A statement, written or oral, that is not processed in accordance with the IEEE SA Standards Board

Operations Manual shall not be considered or inferred to be the official position of IEEE or any of its

committees and shall not be considered to be, nor be relied upon as, a formal position of IEEE. At lectures,

symposia, seminars, or educational courses, an individual presenting information on IEEE standards shall

make it clear that the presenter’s views should be considered the personal views of that individual rather than

the formal position of IEEE, IEEE SA, the Standards Committee, or the Working Group.

Comments on standards

Comments for revision of IEEE Standards documents are welcome from any interested party, regardless of

membership affiliation with IEEE or IEEE SA. However, IEEE does not provide interpretations,

consulting information, or advice pertaining to IEEE Standards documents.

Suggestions for changes in documents should be in the form of a proposed change of text, together with

appropriate supporting comments. Since IEEE standards represent a consensus of concerned interests, it is

important that any responses to comments and questions also receive the concurrence of a balance of interests.

For this reason, IEEE and the members of its Societies and Standards Coordinating Committees are not able

to provide an instant response to comments, or questions except in those cases where the matter has

previously been addressed. For the same reason, IEEE does not respond to interpretation requests. Any person

who would like to participate in evaluating comments or in revisions to an IEEE standard is welcome to join

the relevant IEEE working group. You can indicate interest in a working group using the Interests tab in the

Manage Profile & Interests area of the IEEE SA myProject system. An IEEE Account is needed to access

the application.
Comments on standards should be submitted using the Contact Us form.
Laws and regulations

Users of IEEE Standards documents should consult all applicable laws and regulations. Compliance with the

provisions of any IEEE Standards document does not constitute compliance to any applicable regulatory

requirements. Implementers of the standard are responsible for observing or referring to the applicable

regulatory requirements. IEEE does not, by the publication of its standards, intend to urge action that is not

in compliance with applicable laws, and these documents may not be construed as doing so.

Data privacy

Users of IEEE Standards documents should evaluate the standards for considerations of data privacy and data

ownership in the context of assessing and using the standards in compliance with applicable laws and

regulations.
Copyrights

IEEE draft and approved standards are copyrighted by IEEE under US and international copyright laws. They

are made available by IEEE and are adopted for a wide variety of both public and private uses. These include

both use, by reference, in laws and regulations, and use in private self-regulation, standardization, and the

promotion of engineering practices and methods. By making these documents available for use and adoption

by public authorities and private users, IEEE does not waive any rights in copyright to the documents.

Photocopies

Subject to payment of the appropriate licensing fees, IEEE will grant users a limited, non-exclusive license

to photocopy portions of any individual standard for company or organizational internal use or individual,

non-commercial use only. To arrange for payment of licensing fees, please contact Copyright Clearance

Center, Customer Service, 222 Rosewood Drive, Danvers, MA 01923 USA; +1 978 750 8400;

https://www.copyright.com/. Permission to photocopy portions of any individual standard for educational

classroom use can also be obtained through the Copyright Clearance Center.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 7 ----------------------
ISO/IEEE 11073-40101:2022(E)
Updating of IEEE Standards documents

Users of IEEE Standards documents should be aware that these documents may be superseded at any time

by the issuance of new editions or may be amended from time to time through the issuance of amendments,

corrigenda, or errata. An official IEEE document at any point in time consists of the current edition of the

document together with any amendments, corrigenda, or errata then in effect.

Every IEEE standard is subjected to review at least every 10 years. When a document is more than 10 years

old and has not undergone a revision process, it is reasonable to conclude that its contents, although still of

some value, do not wholly reflect the present state of the art. Users are cautioned to check to determine that

they have the latest edition of any IEEE standard.

In order to determine whether a given document is the current edition and whether it has been amended

through the issuance of amendments, corrigenda, or errata, visit IEEE Xplore or contact IEEE. For more

information about the IEEE SA or IEEE’s standards development process, visit the IEEE SA Website.

Errata

Errata, if any, for all IEEE standards can be accessed on the IEEE SA Website. Search for standard number

and year of approval to access the web page of the published standard. Errata links are located under the

Additional Resources Details section. Errata are also available in IEEE Xplore. Users are encouraged to

periodically check for errata.
Patents
IEEE Standards are developed in compliance with the IEEE SA Patent Policy.

Attention is called to the possibility that implementation of this standard may require use of subject matter

covered by patent rights. By publication of this standard, no position is taken by the IEEE with respect to the

existence or validity of any patent rights in connection therewith. If a patent holder or patent applicant has

filed a statement of assurance via an Accepted Letter of Assurance, then the statement is listed on the IEEE

SA Website at https://standards.ieee.org/about/sasb/patcom/patents.html. Letters of Assurance may indicate

whether the Submitter is willing or unwilling to grant licenses under patent rights without compensation or

under reasonable rates, with reasonable terms and conditions that are demonstrably free of any unfair

discrimination to applicants desiring to obtain such licenses.

Essential Patent Claims may exist for which a Letter of Assurance has not been received. The IEEE is not

responsible for identifying Essential Patent Claims for which a license may be required, for conducting

inquiries into the legal validity or scope of Patents Claims, or determining whether any licensing terms or

conditions provided in connection with submission of a Letter of Assurance, if any, or in any licensing

agreements are reasonable or non-discriminatory. Users of this standard are expressly advised that

determination of the validity of any patent rights, and the risk of infringement of such rights, is entirely their

own responsibility. Further information may be obtained from the IEEE Standards Association.

IMPORTANT NOTICE

IEEE Standards do not guarantee or ensure safety, security, health, or environmental protection, or ensure

against interference with or from other devices or networks. IEEE Standards development activities consider

research and information presented to the standards development group in developing any safety

recommendations. Other information about safety practices, changes in technology or technology

implementation, or impact by peripheral systems also may be pertinent to safety considerations during

implementation of the standard. Implementers and users of IEEE Standards documents are responsible for

determining and complying with all appropriate safety, security, environmental, health, and interference

protection practices and all applicable laws and regulations.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 8 ----------------------
ISO/IEEE 11073-40101:2022(E)
Participants

At the time this standard was submitted to the IEEE SA Standards Board for approval, the Public Health

Device Working Group had the following membership:
Daidi Zhong, Chair
Michael Kirwan and Christoph Fischer, Vice Chairs
Karsten Aalders John T. Collins Jerry Hahn
Charles R. Abbruscato Cory Condek Robert Hall
Nabil Abujbara Todd H. Cooper Shu Han
Maher Abuzaid David Cornejo Nathaniel Hamming
James Agnew Douglas Coup Rickey L. Hampton
Manfred Aigner Nigel Cox Sten Hanke
Jorge Alberola Hans Crommenacker Aki Harma
David Aparisi Tomio Crosley Jordan Hartmann
Lawrence Arne Allen Curtis Kai Hassing
Diego B. Arquillo Jesús Daniel Trigo Avi Hauser
Serafin Arroyo David Davenport Wolfgang Heck
Muhammad Asim Russell Davis Nathaniel Heintzman
Kit August Sushil K. Deka Charles Henderson
Doug Baird Ciro de la Vega Jun-Ho Her
David Baker Pedro de-las-Heras-Quiros Helen B. Hernandez
Anindya Bakshi Jim Dello Stritto Timothy L. Hirou
Abira Balanadarasan Kent Dicks Allen Hobbs
Ananth Balasubramanian Hyoungho Do Alex Holland
Sunlee Bang Jonathan Dougherty Arto Holopainen
M. Jonathan Barkley Xiaolian Duan Kris Holtzclaw
Gilberto Barrón Sourav Dutta Robert Hoy
David Bean Jakob Ehrensvard Anne Huang
John Bell Fredrik Einberg Zhiyong Huang
Olivia Bellamou-Huet Javier Escayola Calvo Ron Huby
Rudy Belliardi Mark Estes David Hughes
Daniel Bernstein Leonardo Estevez Robert D. Hughes
George A. Bertos Bosco T. Fernandes Jiyoung Huh
Chris Biernacki Morten Flintrup Hugh Hunter
Ola Björsne Joseph W. Forler Philip O. Isaacson
Thomas Blackadar Russell Foster Atsushi Ito
Thomas Bluethner Eric Freudenthal Michael Jaffe
Douglas P. Bogia Matthias Frohner Praduman Jain
Xavier Boniface Ken Fuchs Hu Jin
Shannon Boucousis Jing Gao Danny Jochelson
Julius Broma Marcus Garbe Akiyoshi Kabe
Lyle G. Bullock, Jr. John Garguilo Steve Kahle
Bernard Burg Liang Ge Tomio Kamioka
Chris Burns Rick Geimer James J. Kang
Jeremy Byford-Rew Igor Gejdos Kei Kariya
Satya Calloji Ferenc Gerbovics Andy Kaschl
Carole C. Carey Alan Godfrey Junzo Kashihara
Craig Carlson Nicolae Goga Colin Kennedy
Santiago Carot-Nemesio Julian Goldman Ralph Kent
Randy W. Carroll Raul Gonzalez Gomez Laurie M. Kermes
Seungchul Chae Chris Gough Ahmad Kheirandish
Peggy Chien Channa Gowda Junhyung Kim
David Chiu Charles M. Gropper Minho Kim
Jinyong Choi Amit Gupta Min-Joon Kim
Chia-Chin Chong Jeff Guttmacher Taekon Kim
Saeed A. Choudhary Rasmus Haahr Tetsuya Kimura
Jinhan Chung Christian Habermann Alfred Kloos
John A. Cogan Michael Hagerty Jeongmee Koh
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 9 ----------------------
ISO/IEEE 11073-40101:2022(E)
Jean-Marc Koller Marco Paleari John (Ivo) Stivoric
John Koon Bud Panjwani Raymond A. Strickland
Patty Krantz Carl Pantiskas Chandrasekaran Subramaniam
Raymond Krasinski Harry P. Pappas Hermanni Suominen
Alexander Kraus Hanna Park Lee Surprenant
Ramesh Krishna Jong-Tae Park Ravi Swami
Geoffrey Kruse Myungeun Park Ray Sweidan
Falko Kuester Soojun Park Na Tang
Rafael Lajara Phillip E. Pash Haruyuyki Tatsumi
Pierre Landau TongBi Pei Isabel Tejero
Jaechul Lee Soren Petersen Tom Thompson
JongMuk Lee James Petisce Jonas Tirén
Kyong Ho Lee Peter Piction Janet Traub
Rami Lee Michael Pliskin Gary Tschautscher
Sungkee Lee Varshney Prabodh Masato Tsuchid
Woojae Lee Jeff Price Ken Tubman
Qiong Li Harald Prinzhorn Akib Uddin
Xiangchen Li Harry Qiu Sunil Unadkat
Zhuofang Li Tanzilur Rahman Fabio Urbani
Patrick Lichter Phillip Raymond Philipp Urbauer
Jisoon Lim Terrie Reed Laura Vanzago
Joon-Ho Lim Barry Reinhold Alpo Värri
Xiaoming Liu Brian Reinhold Andrei Vasilateanu
Wei-Jung Lo Melvin I. Reynolds Dalimar Velez
Charles Lowe John G. Rhoads Martha Velezis
Don Ludolph Jeffrey S. Robbins Rudi Voon
Christian Luszick Chris Roberts Barry Vornbrock
Bob MacWilliams Stefan Robert Isobel Walker
Srikkanth Madhurbootheswaran Scott M. Robertson David Wang
Miriam L. Makhlouf Timothy Robertson Linling Wang
Romain Marmot David Rosales Jerry P. Wang
Sandra Martinez Bill Saltzstein Yao Wang
Miguel Martínez de Yi Wang
Giovanna Sannino
Espronceda Cámara Jose A. Santos-Cadenas Steve Warren
Peter Mayhew Stefan Sauermann Fujio Watanabe
Jim McCain John Sawyer Toru Watsuji
László Meleg Alois Schloegl David Weissman
Alexander Mense Paul S. Schluter Kathleen Wible
Behnaz Minaei Mark G. Schnell Paul Williamson
Jinsei Miyazaki Richard A. Schrenker Jan Wittenber
Erik Moll Antonio Scorpiniti Jia-Rong Wu
Darr Moore KwangSeok Seo Will Wykeham
Chris Morel Riccardo Serafin Ariton Xhafa
Robert Moskowitz Sid Shaw Ricky Yang
Carsten Mueglitz Frank Shen Melanie S. Yeung
Soundharya Nagasubramanian Min Shih Qiang Yin
Alex Neefus Mazen Shihabi Done-Sik Yoo
Trong-Nghia Nguyen-Dobinsky Redmond Shouldice Zhi Yu
Michael E. Nidd Sternly K. Simon Jianchao Zeng
Jim Niswander Marjorie Skubic Jason Zhang
Hiroaki Niwamoto Robert Smith Jie Zhao
Thomas Norgall Ivan Soh Thomas Zhao
Yoshiteru Nozoe Motoki Sone Yuanhong Zhong
Abraham Ofek Emily Sopensky Qing Zhou
Brett Olive Rajagopalan Srinivasan Miha Zoubek
Begonya Otal Nicholas Steblay Szymon Zyskoter
Lars Steubesand
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 10 ----------------------
ISO/IEEE 11073-40101:2022(E)

The following members of the individual balloting group voted on this standard. Balloters may have voted

for approval, disapproval, or abstention.
Robert Aiello Randall Groves Bansi Patel
Johann Amsenga Robert Heile Dalibor Pokrajac
Bjoern Andersen Werner Hoelzl Beth Pumo
Pradeep Balachandran Raj Jain Stefan Schlichting
Demetrio Bucaneg, Jr. Martin Kasparick Thomas Starai
Lyle G. Bullock, Jr. Stuart Kerry Mark-Rene Uchida
Craig Carlson Edmund Kienast John Vergis
Juan Carreon Yongbum Kim J. Wiley
Pin Chang Raymond Krasinski Yu Yuan
Malcolm Clarke Javier Luiso Oren Yuen
Christoph Fischer H. Moll Janusz Zalewski
David Fuschi Nick S. A. Nikjoo Daidi Zhong

When the IEEE SA Standards Board approved this standard on 24 September 2020, it had the following

membership:
Gary Hoffman, Chair
Jon Walter Rosdahl, Vice Chair
John D. Kulick, Past Chair
Konstantinos Karachalios, Secretary
Ted Burse David J. Law Mehmet Ulema
Doug Edwards Howard Li Lei Wang
J. Travis Griffith Dong Liu Sha Wei
Grace Gu Kevin Lu Philip B. Winston
Guido R. Hiertz Paul Nikolich Daidi Zhong
Joseph L. Koepfinger* Damir Novosel Jingyi Zhou
Dorothy Stanley
*Member Emeritus
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 11 ----------------------
ISO/IEEE 11073-40101:2022(E)
Introduction

This introduction is not part of IEEE Std 11073-40101-2020, Health informatics—Device interoperability—Part 40101:

Foundational—Cybersecurity—Processes for vulnerability assessment.

Users of Personal Health Devices (PHDs) and Point-of-Care Devices (PoCDs) have implicit expectations on

convenience, connectivity, accessibility, and security of data. For example, they expect to connect

PHDs/PoCDs to their mobile devices and dashboards, view the data in the cloud, and easily share the

information with clinicians or care providers. In some cases, the users themselves are taking action to build

connections between PHDs/PoCDs, mobile devices, and the cloud to create the desired system. While many

manufacturers are working on solving PHD/PoCD connectivity challenges with proprietary solutions, no

standardized approach exists to provide secure plug-and-play interoperability.

The ISO/IEEE 11073 PHDs/PoCDs family of standards, Bluetooth Special Interest Group profiles and

services specifications, and the Continua Design Guidelines (PCHAlliance [B7]) were developed to

specifically address plug-and-play interoperability of PHDs/PoCDs (e.g., physical activity monitor,

physiological monitor, pulse oximeter, sleep apnoea breathing therapy equipment, ventilator, insulin delivery

device, infusion pump, continuous glucose monitor). In this context, the following terms have specific

meanings:

 Interoperability is the ability of client components to communicate and share data with service

components in an unambiguous and predictable manner as well as to understand and use the

information that is exchanged (PCHAlliance [B7]).

 Plug and play are all the user has to do to make a connection—the systems automatically detect,

configure, and communicate without any other human interaction (ISO/IEEE 11073-10201 [B5]).

Within the context of secure plug-and-play interoperability, cybersecurity is the process and capability of

preventing unauthorized access or modification, misuse, denial of use, or the unauthorized use of information

that is stored on, accessed from, or transferred to and from a PHD/PoCD. This standard describes the process

part of cybersecurity for transport-independent applications and information profiles of PHDs/PoCDs. These

profiles define data exchange, data representation, and terminology for communication between agents (e.g.,

pulse oximeters, sleep apnoea breathing therapy equipment) and connected devices (e.g., health appliances,

set top boxes, cell phones, personal computers, monitoring cockpits, critical care dashboards).

For PHDs/PoCDs, this standard defines an iterative, systematic, scalable, and auditable approach to

identification of cybersecurity vulnerabilities and estimation of risk. This standard presents one approach to

iterative vulnerability assessment that uses the Spoofing, Tampering, Repudiation, Information Disclosure,

Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded Common

Vulnerability Scoring System (eCVSS). The assessment includes system context, system decomposition, pre-

mitigation scoring, mitigation, and post-mitigation scoring and iterates until the remaining vulnerabilities are

reduced to an acceptable level of risk.

The numbers in brackets correspond to the numbers of the bibliography in Annex A.

Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 12 ----------------------
ISO/IEEE 11073-40101:2022(E)
Contents

1. Overview .................................................................................................................................................. 11

1.1 General .............................................................................................................................................. 11

1.2 Scope ................................................................................................................................................. 12

1.3 Purpose .............................................................................................................................................. 12

1.4 Word usage ........................................................................................................................................ 12

2. Defini
...

NORME ISO/IEEE
INTERNATIONALE 11073-40101
Première édition
2022-03
Informatique de santé —
Interopérabilité des dispositifs —
Partie 40101 :
Fondamentaux — Cybersécurité
— Processus pour l'évaluation de la
vulnérabilité
Health informatics — Device interoperability — Part 40101:
Foundational — Cybersecurity — Processes for vulnerability
assessment
Numéro de
référence ISO/IEEE 11073-
IEEE 2021
---------------------- Page: 1 ----------------------
ISO/IEEE 11073-40101:2022(F)
Numéro de référence
ISO/IEEE 11073-40101:2022(F)
IEEE 2021
---------------------- Page: 2 ----------------------
ISO/IEEE 11073-40101:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© IEEE 2021

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, l'affichage sur l'internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes

d'autorisation peuvent être adressées à l'IEEE à l'adresse ci-après.
Institute of Electrical and Electronics Engineers,
Inc 3 Park Avenue, New York
NY 10016-5997, USA
E-mail : stds.ipr@ieee.org
Site Web : www.ieee.org
Publié en Suisse
ii © IEEE 2021 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/IEE 11073-40101:2022(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de

normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux

comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité

technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison

avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission électrotechnique

internationale (IEC) en ce qui concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites dans

les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères d'approbation

requis pour les différents types de documents ISO (voir www.iso.org/directives).

Les documents normatifs de l'IEEE sont développés au sein des sociétés de l'IEEE et des Comités de Coordination

des Normes du Conseil des Normes de l'Association des normes IEEE (IEEE-SA). L'IEEE développe ses normes par

le biais d'un processus de développement de consensus, approuvé par l'Institut national américain de normalisation,

qui rassemble des volontaires représentant divers points de vue et divers intérêts pour parvenir au produit final.

Les volontaires ne sont pas nécessairement des membres de l'Institut et aucune compensation ne leur est attribuée

pour leur participation. Bien que l'IEEE administre le processus et établisse des règles pour favoriser l'équité au

cours du processus de développement du consensus, l'IEEE n'évalue pas, ne teste pas ou ne vérifie pas de manière

indépendante l'exactitude des informations contenues dans ses normes.

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits de

propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne pas avoir identifié

de tels droits de propriété et averti de leur existence. Les détails concernant les références aux droits de propriété

intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document sont indiqués dans

l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO (voir www.iso.org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour

information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques de

l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de

l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien

suivant : www.iso.org/iso/fr/avant-propos.

L'ISO/IEEE 11073-40101 a été élaborée par le Comité des normes IEEE 11073 de la Société d'Ingénierie en

Médecine et Biologie de l'IEEE (en tant que norme IEEE 11073-40101-2020) et rédigée conformément aux règles

de rédaction de celui-ci. Elle a été adoptée dans le cadre de la « procédure rapide » définie par l'accord de

coopération entre les Organisations Partenaires de Développement de Normes que sont l'ISO et l'IEEE, par le comité

technique ISO/TC 215, Informatique de santé.

Une liste de toutes les parties de la série ISO/IEEE 11073 peut être consultée sur le site web de l'ISO.

Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent document à

l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se trouve à l'adresse

www.iso.org/fr/members.html.
© IEEE 2021 – Tous droits réservés iii
---------------------- Page: 4 ----------------------
ISO/IEEE 11073-40101:2022(F)
Informatique de santé — Interopérabilité des dispositifs
Fondamentaux — Cybersécurité — Processus
pour l'évaluation de la vulnérabilité
Développée par le
Comité des normes IEEE 11073
de la
Société d'Ingénierie en Médecine et Biologie de l'IEEE
Approuvée le 24 septembre 2020
Conseil des Normes IEEE SA
---------------------- Page: 5 ----------------------
ISO/IEEE 11073-40101:2022(F)

Résumé : Pour les dispositifs de santé personnels (PHD) et les dispositifs sur les sites de soins

(PoCD), la présente norme définit une approche itérative, systématique, évolutive et auditable de

l'identification des vulnérabilités en matière de cybersécurité et l'estimation des risques. La norme

présente une approche de l'évaluation itérative des vulnérabilités qui utilise le schéma de

classification STRIDE (usurpation d'identité, falsification, répudiation, divulgation d'informations,

déni de service, élévation du privilège) et le Système d'évaluation des vulnérabilités courantes

intégré (eCVSS). L'évaluation comprend le contexte du système, la décomposition du système, la

notation avant atténuation, l'atténuation et la notation après atténuation et se répète jusqu'à ce que

les vulnérabilités restantes soient réduites à un niveau de risque acceptable.

Mots-clés : cybersécurité, Système d'évaluation des vulnérabilités courantes intégré,

IEEE 11073-40101™, communication entre dispositifs médicaux, dispositifs de santé personnels,

dispositifs sur les sites de soins, STRIDE, évaluation de la vulnérabilité
The Institute of Electrical and Electronics Engineers, Inc.
3 Park Avenue, New York, NY 10016-5997, USA
Copyright © 2021 par l'Institute of Electrical and Electronics Engineers, Inc.

Tous droits réservés. Publié le 8 January 2021. Imprimé aux États-Unis d'Amérique.

IEEE est une marque de commerce déposée à l'Office des brevets et des marques des États-Unis, détenue par l'Institute of Electrical and

Electronics Engineers, Incorporated.

Microsoft et Excel sont des marques déposées de Microsoft Corporation aux États-Unis et/ou d'autres pays.

Open Web Application Security Project et OWASP sont des marques déposées de l'OWASP Foundation, Inc.

PDF: ISBN 978-1-5044-7086-5 STD24423
Version imprimée : ISBN 978-1-5044-7087-2 STDPD24423
L'IEEE interdit toute discrimination, tout harcèlement et toute intimidation.

Pour plus d'informations, visiter https://www.ieee.org/about/corporate/governance/p9-26.html.

Toute reproduction, même partielle, de cette publication, sous quelque forme et par quelque procédé que ce soit, y compris par système de

localisation électronique, est interdite sans l'autorisation écrite préalable de l'éditeur.

Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 6 ----------------------
ISO/IEEE 11073-40101:2022(F)
Notes et rejets de responsabilité importants concernant les documents
normatifs de l'IEEE

Les documents normatifs de l'IEEE sont mis à disposition pour utilisation sous réserve de notes importantes

et de rejets de responsabilité légale. Ces notes et rejets de responsabilité, ou la référence à cette page

), apparaissent dans toutes les normes et peuvent être trouvés
(https://standards.ieee.org/ipr/disclaimers.html

sous le titre « Notes importantes et rejets de responsabilité concernant les documents normatifs de l'IEEE ».

Note et rejet de responsabilité concernant l'utilisation des documents de l'IEEE

Les documents normatifs de l'IEEE sont développés au sein des sociétés de l'IEEE et des Comités de

Coordination des Normes du Conseil des Normes de l'Association des normes IEEE (IEEE-SA). L'IEEE

développe ses normes par le biais d'un processus de développement de consensus accrédité qui rassemble des

volontaires représentant divers points de vue et divers intérêts pour parvenir au produit final. Les normes

IEEE sont des documents conçus par des volontaires dans le cadre de groupes de travail techniques avec une

expertise scientifique, universitaire et technique du secteur d'activité concerné. Les volontaires ne sont pas

nécessairement des membres de l'IEEE ou de l'IEEE-SA et aucune compensation ne leur est attribuée pour

leur participation. Bien que l'IEEE administre le processus et établisse des règles pour favoriser l'équité au

cours du processus de développement du consensus, l'IEEE n'évalue pas, ne soumet pas à essai ou ne vérifie

pas de manière indépendante l'exactitude des informations, ni le bien-fondé de toutes les appréciations

contenues dans ses normes.

L'IEEE ne donne aucune garantie ou représentation concernant ses normes, et rejette expressément toute

garantie, qu'elle soit explicite ou implicite, concernant la présente norme, y compris, sans toutefois s'y limiter,

les garanties de qualité marchande, d'adéquation à un usage particulier et d'absence de violation de droits de

la propriété intellectuelle. En outre, l'IEEE ne garantit ni ne déclare que l'utilisation du matériel contenu dans

ses normes est exempte de toute violation de brevet. Les documents normatifs de l'IEEE sont fournis « EN

L'ÉTAT » et « AVEC TOUS LEURS DÉFAUTS ».

L'utilisation d'une norme IEEE est totalement volontaire. L'existence d'une norme IEEE n'implique pas qu'il

n'y ait pas d'autres manières de produire, de soumettre à essai, de mesurer, d'acheter, de commercialiser ou

de fournir d'autres biens et services qui se rapportent au domaine d'application de la norme IEEE. En outre,

le point de vue exprimé à l'instant où une norme est approuvée et émise, est soumis aux changements induits

par les développements techniques et les commentaires reçus des utilisateurs de la norme

En publiant ses normes et en les rendant disponibles, l'IEEE ne suggère pas, ni ne fournit de services

professionnels ou autres à une personne ou une entité quelconque, ou en son nom. L'IEEE ne s'engage pas

non plus à assumer une quelconque responsabilité de toute autre personne ou entité envers une autre. Il est

recommandé à toute personne utilisant un document normatif de l'IEEE de se fier à son propre jugement

indépendant dans l'exercice d'une diligence raisonnable dans toutes les circonstances données ou, le cas

échéant, de demander conseil à un professionnel compétent pour déterminer la pertinence d'une norme IEEE

donnée.
EN AUCUN CAS l'IEEE NE DOIT ÊTRE TENUE RESPONSABLE DE QUELCONQUES DOMMAGES
DIRECTS, INDIRECTS, INCIDENTS, SPÉCIAUX, EXEMPLAIRES OU CONSÉCUTIFS (Y COMPRIS,
MAIS NON LIMITÉ À : BESOIN DE SE PROCURER DES BIENS OU SERVICES DE
REMPLACEMENT ; PERTE D'UTILISATION, DE DONNÉES OU DE PROFITS ; OU INTERRUPTION
D'ACTIVITÉ), QUELLE QU'EN SOIT LA CAUSE ET QUELLE QUE SOIT LA THÉORIE DE LA
RESPONSABILITÉ, QUE CE SOIT DANS LE CADRE D'UN CONTRAT, D'UNE RESPONSABILITÉ
STRICTE OU D'UN DÉLIT (Y COMPRIS LA NÉGLIGENCE OU AUTRE), RÉSULTANT DE
QUELQUE MANIÈRE QUE CE SOIT DE LA PUBLICATION, DE L'UTILISATION D'UNE NORME
OU DE LA CONFIANCE ACCORDÉE À UNE NORME, MÊME EN CAS DE NOTIFICATION DE LA
POSSIBILITÉ DE TELS DOMMAGES, ET INDÉPENDAMMENT DU FAIT QUE LE PRÉJUDICE
ÉTAIT PRÉVISIBLE OU NON.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 7 ----------------------
ISO/IEEE 11073-40101:2022(F)
Traductions

Le processus de développement du consensus de l'IEEE implique l'examen de documents en anglais

uniquement. Si une norme de l'IEEE est traduite, il convient que la seule la version anglaise publiée par

l'IEEE soit la norme IEEE approuvée.
Déclarations officielles

Une déclaration, écrite ou orale, qui n'est pas traitée conformément au manuel des opérations du Conseil des

Normes IEEE-SA, ne doit pas être considérée ou interprétée comme étant la position officielle de l'IEEE ou

de l'un quelconque de ses comités et ne doit pas être considérée comme une position formelle de l'IEEE, ni

être invoquée comme telle. Lors de conférences, de symposiums, de séminaires ou de cours de formation,

une personne présentant des informations sur les normes de l'IEEE doit indiquer clairement qu'il convient

que les opinions du présentateur soient considérées comme les opinions personnelles de cet individu et non

comme la position officielle de l'IEEE, de l'IEEE-SA, du Comité de normalisation ou du Groupe de travail.

Commentaires relatifs aux normes

Toute partie intéressée, qu'elle soit ou non membre de l'IEEE ou de l'IEEE-SA, est invitée à émettre des

commentaires en vue de la révision des documents normatifs de l'IEEE. Toutefois, l'IEEE ne fournit pas

d'interprétation, d'informations de consulting ou de conseils relatifs aux documents normatifs de

l'IEEE.

Il convient que les suggestions de modification à apporter aux documents se présentent sous la forme d'une

proposition de modification du texte, accompagnée des commentaires d'appui appropriés. Comme les normes

de l'IEEE représentent un consensus des intérêts concernés, il est important que toute réponse à des

commentaires et questions reçoive également l'attention d'intérêts équilibrés. Pour cette raison, l'IEEE et les

membres de ses sociétés et de ses Comités de Coordination des Normes ne peuvent pas fournir une réponse

instantanée aux commentaires ou questions, excepté dans les cas où le sujet aurait été traité précédemment.

Pour la même raison, l'IEEE ne répond pas aux demandes d'interprétation. Toute personne désireuse de

participer à l'évaluation de commentaires ou de révisions d'une norme de l'IEEE est invitée à se joindre au

groupe de travail approprié de l'IEEE. Vous pouvez manifester votre intérêt pour un groupe de travail dans

l'onglet Interests de la zone Manage Profile & Interests de IEEE SA myProject system. Un compte IEEE est

nécessaire pour accéder à l'application.

Il est recommandé d'adresser les commentaires sur les normes à l'aide du formulaire Contact Us

Lois et règlements

Il est recommandé aux utilisateurs des documents normatifs de l'IEEE de consulter toutes les lois et tous les

règlements applicables. L'observance des dispositions d'un document normatif de l'IEEE, quel qu'il soit, ne

vaut pas respect des exigences réglementaires applicables. Il incombe aux personnes ou organismes mettant

en œuvre la norme d'observer les exigences réglementaires applicables ou d'y faire référence. L'IEEE n'a pas

l'intention, du fait de la publication de ses normes, d'inciter à une action qui ne serait pas conforme aux lois

applicables, et ces documents ne peuvent pas être interprétés comme le faisant.
Protection des données

Il convient que les utilisateurs des documents normatifs de l'IEEE évaluent les normes pour prendre en

compte la protection et la propriété des données dans le contexte de l'évaluation et de l'utilisation des normes

en conformité avec les lois et réglementations applicables.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 8 ----------------------
ISO/IEEE 11073-40101:2022(F)
Copyrights

Les projets de norme et les normes approuvées de l'IEEE sont protégés par les droits de propriété intellectuelle

de l'IEEE en vertu des lois américaines et internationales sur les droits d'auteur. Ils sont mis à disposition par

l'IEEE et adoptés pour diverses utilisations à la fois publiques et privées. Celles-ci incluent une utilisation,

par référence, dans les lois et réglementations, et une utilisation dans l'auto-réglementation, la normalisation

et la promotion de pratiques et de méthodes d'ingénierie. En rendant ces documents disponibles en vue de

leur utilisation et de leur adoption par les autorités publiques et les utilisateurs privés, l'IEEE ne renonce à

aucun droit de copyright sur ces documents.
Photocopies

Sous réserve du paiement des droits de licence correspondants, l'IEEE accordera aux utilisateurs une licence

limitée et non exclusive pour photocopier des parties de toute norme individuelle en vue d'une utilisation

interne par l'entreprise ou l'organisation ou une utilisation exclusivement individuelle et non commerciale.

Pour les dispositions relatives au paiement du droit de licence, veuillez contacter le Copyright Clearance

Center, Customer Service, 222 Rosewood Drive, Danvers, MA 01923 États-Unis ; Tél. +1 978 750 8400 ;

https://www.copyright.com/. L'autorisation de photocopier des parties d'une norme individuelle à des fins

éducatives en classe peut également être obtenue auprès du Copyright Clearance Center.

Mise à jour de documents normatifs de l'IEEE

Il convient que les utilisateurs des documents normatifs de l'IEEE soient informés du fait que ces documents

peuvent être remplacés à tout moment par la publication de nouvelles éditions ou peuvent être amendés de

temps à autre par le biais de l'émission d'amendements, de correctifs ou d'errata. Un document IEEE officiel,

à un instant quelconque, est constitué de l'édition actuelle du document accompagnée de tous les

amendements, correctifs ou errata alors en vigueur.

Chaque Norme IEEE est soumise à un examen au moins tous les dix ans. Lorsqu'un document a plus de dix

ans et qu'il n'a pas fait l'objet d'une révision, il est raisonnable de conclure que son contenu, bien qu'il ait

encore une certaine valeur, ne reflète pas totalement l'état actuel de la technique. Les utilisateurs sont invités

à s'assurer qu'ils disposent de la dernière édition des normes IEEE.

Pour déterminer si un document donné est l'édition actuelle et s'il a été amendé par le biais de l'émission

d'amendements, de correctifs ou d'errata, il convient de visiter le site web IEEE Xplore à l'adresse IEEE

Xplore ou contact IEEE. Pour plus d'informations sur l'IEEE Standards Association ou le processus de

développement des normes IEEE, visiter le site web de l'IEEE SA.
Errata

Le cas échéant, les errata de toutes les normes IEEE sont accessibles sur le site Web de l'IEEE-SA (IEEE SA

Website). Rechercher un numéro de norme et l'année d'approbation pour accéder à la page Web de la norme

publiée. Les liens vers les errata se trouvent dans le paragraphe « Additional Resources Details ». Les errata

IEEE Xplore. Les utilisateurs sont encouragés à faire des vérifications
sont également disponibles sur
régulières des errata.
Brevets
Les normes IEEE sont développées en conformité avec l'IEEE SA Patent Policy.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 9 ----------------------
ISO/IEEE 11073-40101:2022(F)

L'attention est attirée sur la possibilité que la mise en œuvre de la présente norme puisse requérir l'utilisation

d'un objet couvert par des droits de propriété intellectuelle ou des droits analogues. Du fait de la publication

de la présente norme, aucune position n'est adoptée par l'IEEE en ce qui concerne l'existence ou la validité

de tout droit de propriété intellectuelle ou droit analogue en rapport avec celle-ci. Si le détenteur d'un brevet

ou le demandeur d'un brevet a déposé une déclaration d'assurance par le biais d'une lettre d'assurance

acceptée, alors la déclaration est incluse sur le site web de l'IEEE SA à l'adresse

https://standards.ieee.org/about/sasb/patcom/patents.html. Les lettres d'assurance peuvent indiquer si le

déposant accepte ou non d'accorder des licences dans le cadre de ces droits sans compensation ou avec des

redevances raisonnables, avec des termes et conditions raisonnables dont il peut être démontré qu'elles sont

exemptes de toute discrimination inéquitable pour les demandeurs désirant obtenir de telles licences.

D'autres revendications essentielles de brevets peuvent exister, pour lesquelles une déclaration d'assurance

n'a pas été reçue. Il n'incombe pas à l'IEEE d'identifier les Essential Patent Claims (Revendications

Essentielles de Brevets) pour lesquelles une licence peut être requise, de mener des enquêtes portant sur la

validité légale ou la portée des revendications de brevet ou de déterminer si des termes ou conditions

d'attribution de licence fournis en rapport avec la soumission d'une lettre d'assurance, s'il y en a, ou dans des

accords d'attribution de licence quelconques sont raisonnables ou non discriminatoires. Les utilisateurs de la

présente norme sont expressément avisés que la détermination de la validité de tout droit de brevet et le risque

de violation de ces droits leur incombent entièrement. Des informations supplémentaires peuvent être

obtenues auprès de l'Association des normes IEEE.
NOTE IMPORTANTE

Les normes IEEE ne garantissent ou n'assurent pas la sécurité, la sûreté, la santé ou la protection de

l'environnement, ni n'assurent une protection contre toute interférence avec ou provenant d'autres dispositifs

ou réseaux. Les activités de développement des normes IEEE prennent en compte la recherche et les

informations présentées au groupe de développement des normes lors du développement de toute

recommandation de sécurité. Les autres informations sur les pratiques relatives à la sécurité, aux modification

de technologie ou mise en œuvre de technologie, ou aux impacts des systèmes périphériques, peuvent

également être pertinentes pour les considérations de sécurité pendant la mise en œuvre de la norme. Il

incombe aux personnes appliquant des documents normatifs de l'IEEE et à leurs utilisateurs de déterminer

toutes les pratiques appropriées de protection concernant la sécurité, la sûreté, l'environnement, la santé et

les interférences, ainsi que toutes les lois et réglementations applicables, et de s'y conformer.

Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 10 ----------------------
ISO/IEEE 11073-40101:20212022(F)
Participants

Au moment où la présente norme a été soumise au Conseil des Normes IEEE SA pour approbation, le Groupe

de travail Public Health Device comprenait les membres suivants :
Daidi Zhong, Président
Michael Kirwan et Christoph Fischer, Vice-présidents
Karsten Aalders John T. Collins Jerry Hahn
Charles R. Abbruscato Cory Condek Robert Hall
Nabil Abujbara Todd H. Cooper Shu Han
Maher Abuzaid David Cornejo Nathaniel Hamming
James Agnew Douglas Coup Rickey L. Hampton
Manfred Aigner Nigel Cox Sten Hanke
Jorge Alberola Hans Crommenacker Aki Harma
David Aparisi Tomio Crosley Jordan Hartmann
Lawrence Arne Allen Curtis Kai Hassing
Diego B. Arquillo Jesús Daniel Trigo Avi Hauser
Serafin Arroyo David Davenport Wolfgang Heck
Muhammad Asim Russell Davis Nathaniel Heintzman
Kit August Sushil K. Deka Charles Henderson
Doug Baird Ciro de la Vega Jun-Ho Her
David Baker Pedro de-las-Heras-Quiros Helen B. Hernandez
Anindya Bakshi Jim Dello Stritto Timothy L. Hirou
Abira Balanadarasan Kent Dicks Allen Hobbs
Ananth Balasubramanian Hyoungho Do Alex Holland
Sunlee Bang Jonathan Dougherty Arto Holopainen
M. Jonathan Barkley Xiaolian Duan Kris Holtzclaw
Gilberto Barrón Sourav Dutta Robert Hoy
David Bean Jakob Ehrensvard Anne Huang
John Bell Fredrik Einberg Zhiyong Huang
Olivia Bellamou-Huet Javier Escayola Calvo Ron Huby
Rudy Belliardi Mark Estes David Hughes
Daniel Bernstein Leonardo Estevez Robert D. Hughes
George A. Bertos Bosco T. Fernandes Jiyoung Huh
Chris Biernacki Morten Flintrup Hugh Hunter
Ola Björsne Joseph W. Forler Philip O. Isaacson
Thomas Blackadar Russell Foster Atsushi Ito
Thomas Bluethner Eric Freudenthal Michael Jaffe
Douglas P. Bogia Matthias Frohner Praduman Jain
Xavier Boniface Ken Fuchs Hu Jin
Shannon Boucousis Jing Gao Danny Jochelson
Julius Broma Marcus Garbe Akiyoshi Kabe
Lyle G. Bullock, Jr. John Garguilo Steve Kahle
Bernard Burg Liang Ge Tomio Kamioka
Chris Burns Rick Geimer James J. Kang
Jeremy Byford-Rew Igor Gejdos Kei Kariya
Satya Calloji Ferenc Gerbovics Andy Kaschl
Carole C. Carey Alan Godfrey Junzo Kashihara
Craig Carlson Nicolae Goga Colin Kennedy
Santiago Carot-Nemesio Julian Goldman Ralph Kent
Randy W. Carroll Raul Gonzalez Gomez Laurie M. Kermes
Seungchul Chae Chris Gough Ahmad Kheirandish
Peggy Chien Channa Gowda Junhyung Kim
David Chiu Charles M. Gropper Minho Kim
Jinyong Choi Amit Gupta Min-Joon Kim
Chia-Chin Chong Jeff Guttmacher Taekon Kim
Saeed A. Choudhary Rasmus Haahr Tetsuya Kimura
Jinhan Chung Christian Habermann Alfred Kloos
John A. Cogan Michael Hagerty Jeongmee Koh
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 11 ----------------------
ISO/IEEE 11073-40101:2022(F)
Jean-Marc Koller Marco Paleari John (Ivo) Stivoric
John Koon Bud Panjwani Raymond A. Strickland
Patty Krantz Carl Pantiskas Chandrasekaran Subramaniam
Raymond Krasinski Harry P. Pappas Hermanni Suominen
Alexander Kraus Hanna Park Lee Surprenant
Ramesh Krishna Jong-Tae Park Ravi Swami
Geoffrey Kruse Myungeun Park Ray Sweidan
Falko Kuester Soojun Park Na Tang
Rafael Lajara Phillip E. Pash Haruyuyki Tatsumi
Pierre Landau TongBi Pei Isabel Tejero
Jaechul Lee Soren Petersen Tom Thompson
JongMuk Lee James Petisce Jonas Tirén
Kyong Ho Lee Peter Piction Janet Traub
Rami Lee Michael Pliskin Gary Tschautscher
Sungkee Lee Varshney Prabodh Masato Tsuchid
Woojae Lee Jeff Price Ken Tubman
Qiong Li Harald Prinzhorn Akib Uddin
Xiangchen Li Harry Qiu Sunil Unadkat
Zhuofang Li Tanzilur Rahman Fabio Urbani
Patrick Lichter Phillip Raymond Philipp Urbauer
Jisoon Lim Terrie Reed Laura Vanzago
Joon-Ho Lim Barry Reinhold Alpo Värri
Xiaoming Liu Brian Reinhold Andrei Vasilateanu
Wei-Jung Lo Melvin I. Reynolds Dalimar Velez
Charles Lowe John G. Rhoads Martha Velezis
Don Ludolph Jeffrey S. Robbins Rudi Voon
Christian Luszick Chris Roberts Barry Vornbrock
Bob MacWilliams Stefan Robert Isobel Walker
Srikkanth Madhurbootheswaran Scott M. Robertson David Wang
Miriam L. Makhlouf Timothy Robertson Linling Wang
Romain Marmot David Rosales Jerry P. Wang
Sandra Martinez Bill Saltzstein Yao Wang
Miguel Martínez de Giovanna Sannino Yi Wang
Espronceda Cámara Jose A. Santos-Cadenas Steve Warren
Peter Mayhew Stefan Sauermann Fujio Watanabe
Jim McCain John Sawyer Toru Watsuji
László Meleg Alois Schloegl David Weissman
Alexander Mense Paul S. Schluter Kathleen Wible
Behnaz Minaei Mark G. Schnell Paul Williamson
Jinsei Miyazaki Richard A. Schrenker Jan Wittenber
Erik Moll Antonio Scorpiniti Jia-Rong Wu
Darr Moore KwangSeok Seo Will Wykeham
Chris Morel Riccardo Serafin Ariton Xhafa
Robert Moskowitz Sid Shaw Ricky Yang
Carsten Mueglitz Frank Shen Melanie S. Yeung
Soundharya Nagasubramanian Min Shih Qiang Yin
Alex Neefus Mazen Shihabi Done-Sik Yoo
Trong-Nghia Nguyen-Dobinsky Redmond Shouldice Zhi Yu
Michael E. Nidd Sternly K. Simon Jianchao Zeng
Jim Niswander Marjorie Skubic Jason Zhang
Hiroaki Niwamoto Robert Smith Jie Zhao
Thomas Norgall Ivan Soh Thomas Zhao
Yoshiteru Nozoe Motoki Sone Yuanhong Zhong
Abraham Ofek Emily Sopensky Qing Zhou
Brett Olive Rajagopalan Srinivasan Miha Zoubek
Begonya Otal Nicholas Steblay Szymon Zyskoter
Lars Steubesand

Copyright © 2021 IEEE. Tous droits réservés

---------------------- Page: 12 ----------------------
ISO/IEEE 11073-40101:20212022(F)

La présente norme a été votée par les membres suivants du groupe de vote individuel. Les choix offerts aux

votants étaient les suivants : approbation, désaccord ou abstention.
Robert Aiello Randall Groves Bansi Patel
Johann Amsenga Robert Heile Dalibor Pokrajac
Bjoern Andersen Werner Hoelzl Beth Pumo
Pradeep Balachandran Raj Jain Stefan Schlichting
Demetrio Bucaneg, Jr. Martin Kasparick Thomas Starai
Lyle G. Bullock, Jr. Stuart Kerry Mark-Rene Uchida
Craig Carlson Edmund Kienast John Vergis
Juan Carreon Yongbum Kim J. Wiley
Pin Chang Raymond Krasinski Yu Yuan
Malcolm Clarke Javier Luiso Oren Yuen
Christoph Fischer H. Moll Janusz Zalewski
David Fuschi Nick S. A. Nikjoo Daidi Zhong

Lorsque le Conseil des normes IEEE SA a approuvé la présente norme le 24 septembre 2020, il comprenait

les membres suivants :
Gary Hoffman, Président
Jon Walter Rosdahl, Vice-président
John D. Kulick, Ancien président
Konstantinos Karachalios, Secrétaire
Ted Burse David J. Law Mehmet Ulema
Doug Edwards Howard Li Lei Wang
J. Travis Griffith Dong Liu Sha Wei
Grace Gu Kevin Lu Philip B. Winston
Guido R. Hiertz Paul Nikolich Daidi Zhong
Joseph L. Koepfinger* Damir Novosel Jingyi Zhou
Dorothy Stanley
*Membre émérite
Copyright © 202
...

NORME ISO/IEEE
INTERNATIONALE 11073-
40101
Première édition
2022-03
Informatique de santé —
Interopérabilité des dispositifs —
Partie 40101:
Fondamentaux — Cybersécurité —
Processus pour l'évaluation de la
vulnérabilité
Health informatics — Device interoperability —
Part 40101: Foundational — Cybersecurity — Processes for
vulnerability assessment
Numéro de référence
ISO/IEEE 11073-40101:2022(F)
© IEEE 2021
---------------------- Page: 1 ----------------------
ISO/IEEE 11073-40101:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© IEEE 2021

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y

compris la photocopie, ou la diffusion sur l’internet ou un intranet, sans autorisation écrite préalable. Une autorisation peut être

demandée à l’IEEE à l’adresse ci-après.
Institute of Electrical and Electronics Engineers, Inc
3 Park Avenue, New York
NY 10016-5997, USA
E-mail: stds.ipr@ieee.org
Website: www.ieee.org
Publié en Suisse
© IEEE 2021 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEEE 11073-40101:2022(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes

nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en

général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit

de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales

et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore

étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la

normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d'approbation requis pour les différents types de documents ISO (voir www.iso.org/directives).

Les documents normatifs de l’IEEE sont développés au sein des sociétés de l’IEEE et des Comités de

Coordination des Normes du Conseil des Normes de l’Association des normes IEEE (IEEE-SA). L’IEEE

élabore ses normes par le biais d’un processus d'élaboration du consensus approuvé par l’American

National Standards Institute, qui rassemble des volontaires représentant divers points de vue et divers

intérêts pour parvenir au produit final. Les volontaires ne sont pas nécessairement des membres de

l’Institut et aucune compensation ne leur est attribuée. Bien que l’IEEE administre le processus et

établisse des règles pour favoriser l’équité au cours du processus d'élaboration du consensus, l’IEEE

n’évalue pas, ne soumet pas à essai ou ne vérifie pas de manière indépendante l’exactitude des

informations contenues dans ses normes.

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de

droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de

ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les

références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration

du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par

l'ISO (voir www.iso.org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion

de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir www.iso.org/iso/fr/avant-propos.

ISO/IEEE 11073-40101 a été élaborée par le Comité des normes IEEE 11073 de la Société d’Ingénierie en

Médecine et Biologie de l’IEEE (en tant que norme IEEE Std 11073-40101-2020) et rédigée

conformément à ses règles de rédaction. Elle a été adoptée par le comité technique ISO/TC 215,

Informatique de santé, dans le cadre de la «procédure par voie express» définie par l’accord de

coopération PSDO (Organisation partenaire élaboratrice de norme) entre l’ISO et l’IEEE.

Une liste de toutes les parties de la série ISO/IEEE 11073 se trouve sur le site web de l’ISO.

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l’adresse www.iso.org/fr/members.html.
© IEEE 2021 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
IEEE 11073-40101™-2020
Informatique de santé — Interopérabilité des dispositifs
Partie 40101:
Fondamentaux — Cybersécurité — Processus
pour l'évaluation de la vulnérabilité
Développée par le
Comité des normes IEEE 11073
de la
Société d'Ingénierie en Médecine et Biologie de l'IEEE
Approuvée le 24 septembre 2020
Conseil des Normes IEEE SA
---------------------- Page: 4 ----------------------
ISO/IEEE 11073-40101:2022(F)

Résumé : Pour les dispositifs de santé personnels (PHD) et les dispositifs sur les sites de soins

(PoCD), la présente norme définit une approche itérative, systématique, évolutive et auditable de

l'identification des vulnérabilités en matière de cybersécurité et l'estimation des risques. La norme

présente une approche de l'évaluation itérative des vulnérabilités qui utilise le schéma de

classification STRIDE (usurpation d'identité, falsification, répudiation, divulgation d'informations,

déni de service, élévation du privilège) et le Système d'évaluation des vulnérabilités courantes

intégré (eCVSS). L'évaluation comprend le contexte du système, la décomposition du système, la

notation avant atténuation, l'atténuation et la notation après atténuation et se répète jusqu'à ce que

les vulnérabilités restantes soient réduites à un niveau de risque acceptable.

Mots-clés : cybersécurité, Système d'évaluation des vulnérabilités courantes intégré,

IEEE 11073-40101™, communication entre dispositifs médicaux, dispositifs de santé personnels,

dispositifs sur les sites de soins, STRIDE, évaluation de la vulnérabilité
The Institute of Electrical and Electronics Engineers, Inc.
3 Park Avenue, New York, NY 10016-5997, USA
Copyright © 2021 par l'Institute of Electrical and Electronics Engineers, Inc.

Tous droits réservés. Publié le 8 January 2021. Imprimé aux États-Unis d'Amérique.

IEEE est une marque de commerce déposée à l'Office des brevets et des marques des États-Unis, détenue par l'Institute of Electrical and

Electronics Engineers, Incorporated.

Microsoft et Excel sont des marques déposées de Microsoft Corporation aux États-Unis et/ou d'autres pays.

Open Web Application Security Project et OWASP sont des marques déposées de l'OWASP Foundation, Inc.

PDF: ISBN 978-1-5044-7086-5 STD24423
Version imprimée : ISBN 978-1-5044-7087-2 STDPD24423
L'IEEE interdit toute discrimination, tout harcèlement et toute intimidation.

Pour plus d'informations, visiter https://www.ieee.org/about/corporate/governance/p9-26.html.

Toute reproduction, même partielle, de cette publication, sous quelque forme et par quelque procédé que ce soit, y compris par système de

localisation électronique, est interdite sans l'autorisation écrite préalable de l'éditeur.

Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 5 ----------------------
ISO/IEEE 11073-40101:2022(F)
Notes et rejets de responsabilité importants concernant les documents
normatifs de l'IEEE

Les documents normatifs de l'IEEE sont mis à disposition pour utilisation sous réserve de notes importantes

et de rejets de responsabilité légale. Ces notes et rejets de responsabilité, ou la référence à cette page

(https://standards.ieee.org/ipr/disclaimers.html), apparaissent dans toutes les normes et peuvent être trouvés

sous le titre « Notes importantes et rejets de responsabilité concernant les documents normatifs de l'IEEE ».

Note et rejet de responsabilité concernant l'utilisation des documents de l'IEEE

Les documents normatifs de l'IEEE sont développés au sein des sociétés de l'IEEE et des Comités de

Coordination des Normes du Conseil des Normes de l'Association des normes IEEE (IEEE-SA). L'IEEE

développe ses normes par le biais d'un processus de développement de consensus accrédité qui rassemble des

volontaires représentant divers points de vue et divers intérêts pour parvenir au produit final. Les normes

IEEE sont des documents conçus par des volontaires dans le cadre de groupes de travail techniques avec une

expertise scientifique, universitaire et technique du secteur d'activité concerné. Les volontaires ne sont pas

nécessairement des membres de l'IEEE ou de l'IEEE-SA et aucune compensation ne leur est attribuée pour

leur participation. Bien que l'IEEE administre le processus et établisse des règles pour favoriser l'équité au

cours du processus de développement du consensus, l'IEEE n'évalue pas, ne soumet pas à essai ou ne vérifie

pas de manière indépendante l'exactitude des informations, ni le bien-fondé de toutes les appréciations

contenues dans ses normes.

L'IEEE ne donne aucune garantie ou représentation concernant ses normes, et rejette expressément toute

garantie, qu'elle soit explicite ou implicite, concernant la présente norme, y compris, sans toutefois s'y limiter,

les garanties de qualité marchande, d'adéquation à un usage particulier et d'absence de violation de droits de

la propriété intellectuelle. En outre, l'IEEE ne garantit ni ne déclare que l'utilisation du matériel contenu dans

ses normes est exempte de toute violation de brevet. Les documents normatifs de l'IEEE sont fournis « EN

L'ÉTAT » et « AVEC TOUS LEURS DÉFAUTS ».

L'utilisation d'une norme IEEE est totalement volontaire. L'existence d'une norme IEEE n'implique pas qu'il

n'y ait pas d'autres manières de produire, de soumettre à essai, de mesurer, d'acheter, de commercialiser ou

de fournir d'autres biens et services qui se rapportent au domaine d'application de la norme IEEE. En outre,

le point de vue exprimé à l'instant où une norme est approuvée et émise, est soumis aux changements induits

par les développements techniques et les commentaires reçus des utilisateurs de la norme

En publiant ses normes et en les rendant disponibles, l'IEEE ne suggère pas, ni ne fournit de services

professionnels ou autres à une personne ou une entité quelconque, ou en son nom. L'IEEE ne s'engage pas

non plus à assumer une quelconque responsabilité de toute autre personne ou entité envers une autre. Il est

recommandé à toute personne utilisant un document normatif de l'IEEE de se fier à son propre jugement

indépendant dans l'exercice d'une diligence raisonnable dans toutes les circonstances données ou, le cas

échéant, de demander conseil à un professionnel compétent pour déterminer la pertinence d'une norme IEEE

donnée.
EN AUCUN CAS l'IEEE NE DOIT ÊTRE TENUE RESPONSABLE DE QUELCONQUES DOMMAGES
DIRECTS, INDIRECTS, INCIDENTS, SPÉCIAUX, EXEMPLAIRES OU CONSÉCUTIFS (Y COMPRIS,
MAIS NON LIMITÉ À : BESOIN DE SE PROCURER DES BIENS OU SERVICES DE
REMPLACEMENT ; PERTE D'UTILISATION, DE DONNÉES OU DE PROFITS ; OU INTERRUPTION
D'ACTIVITÉ), QUELLE QU'EN SOIT LA CAUSE ET QUELLE QUE SOIT LA THÉORIE DE LA
RESPONSABILITÉ, QUE CE SOIT DANS LE CADRE D'UN CONTRAT, D'UNE RESPONSABILITÉ
STRICTE OU D'UN DÉLIT (Y COMPRIS LA NÉGLIGENCE OU AUTRE), RÉSULTANT DE
QUELQUE MANIÈRE QUE CE SOIT DE LA PUBLICATION, DE L'UTILISATION D'UNE NORME
OU DE LA CONFIANCE ACCORDÉE À UNE NORME, MÊME EN CAS DE NOTIFICATION DE LA
POSSIBILITÉ DE TELS DOMMAGES, ET INDÉPENDAMMENT DU FAIT QUE LE PRÉJUDICE
ÉTAIT PRÉVISIBLE OU NON.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 6 ----------------------
ISO/IEEE 11073-40101:2022(F)
Traductions

Le processus de développement du consensus de l'IEEE implique l'examen de documents en anglais

uniquement. Si une norme de l'IEEE est traduite, il convient que la seule la version anglaise publiée par

l'IEEE soit la norme IEEE approuvée.
Déclarations officielles

Une déclaration, écrite ou orale, qui n'est pas traitée conformément au manuel des opérations du Conseil des

Normes IEEE-SA, ne doit pas être considérée ou interprétée comme étant la position officielle de l'IEEE ou

de l'un quelconque de ses comités et ne doit pas être considérée comme une position formelle de l'IEEE, ni

être invoquée comme telle. Lors de conférences, de symposiums, de séminaires ou de cours de formation,

une personne présentant des informations sur les normes de l'IEEE doit indiquer clairement qu'il convient

que les opinions du présentateur soient considérées comme les opinions personnelles de cet individu et non

comme la position officielle de l'IEEE, de l'IEEE-SA, du Comité de normalisation ou du Groupe de travail.

Commentaires relatifs aux normes

Toute partie intéressée, qu'elle soit ou non membre de l'IEEE ou de l'IEEE-SA, est invitée à émettre des

commentaires en vue de la révision des documents normatifs de l'IEEE. Toutefois, l'IEEE ne fournit pas

d'interprétation, d'informations de consulting ou de conseils relatifs aux documents normatifs de

l'IEEE.

Il convient que les suggestions de modification à apporter aux documents se présentent sous la forme d'une

proposition de modification du texte, accompagnée des commentaires d'appui appropriés. Comme les normes

de l'IEEE représentent un consensus des intérêts concernés, il est important que toute réponse à des

commentaires et questions reçoive également l'attention d'intérêts équilibrés. Pour cette raison, l'IEEE et les

membres de ses sociétés et de ses Comités de Coordination des Normes ne peuvent pas fournir une réponse

instantanée aux commentaires ou questions, excepté dans les cas où le sujet aurait été traité précédemment.

Pour la même raison, l'IEEE ne répond pas aux demandes d'interprétation. Toute personne désireuse de

participer à l'évaluation de commentaires ou de révisions d'une norme de l'IEEE est invitée à se joindre au

groupe de travail approprié de l'IEEE. Vous pouvez manifester votre intérêt pour un groupe de travail dans

l'onglet Interests de la zone Manage Profile & Interests de IEEE SA myProject system. Un compte IEEE est

nécessaire pour accéder à l'application.

Il est recommandé d'adresser les commentaires sur les normes à l'aide du formulaire Contact Us

Lois et règlements

Il est recommandé aux utilisateurs des documents normatifs de l'IEEE de consulter toutes les lois et tous les

règlements applicables. L'observance des dispositions d'un document normatif de l'IEEE, quel qu'il soit, ne

vaut pas respect des exigences réglementaires applicables. Il incombe aux personnes ou organismes mettant

en œuvre la norme d'observer les exigences réglementaires applicables ou d'y faire référence. L'IEEE n'a pas

l'intention, du fait de la publication de ses normes, d'inciter à une action qui ne serait pas conforme aux lois

applicables, et ces documents ne peuvent pas être interprétés comme le faisant.
Protection des données

Il convient que les utilisateurs des documents normatifs de l'IEEE évaluent les normes pour prendre en

compte la protection et la propriété des données dans le contexte de l'évaluation et de l'utilisation des normes

en conformité avec les lois et réglementations applicables.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 7 ----------------------
ISO/IEEE 11073-40101:2022(F)
Copyrights

Les projets de norme et les normes approuvées de l'IEEE sont protégés par les droits de propriété intellectuelle

de l'IEEE en vertu des lois américaines et internationales sur les droits d'auteur. Ils sont mis à disposition par

l'IEEE et adoptés pour diverses utilisations à la fois publiques et privées. Celles-ci incluent une utilisation,

par référence, dans les lois et réglementations, et une utilisation dans l'auto-réglementation, la normalisation

et la promotion de pratiques et de méthodes d'ingénierie. En rendant ces documents disponibles en vue de

leur utilisation et de leur adoption par les autorités publiques et les utilisateurs privés, l'IEEE ne renonce à

aucun droit de copyright sur ces documents.
Photocopies

Sous réserve du paiement des droits de licence correspondants, l'IEEE accordera aux utilisateurs une licence

limitée et non exclusive pour photocopier des parties de toute norme individuelle en vue d'une utilisation

interne par l'entreprise ou l'organisation ou une utilisation exclusivement individuelle et non commerciale.

Pour les dispositions relatives au paiement du droit de licence, veuillez contacter le Copyright Clearance

Center, Customer Service, 222 Rosewood Drive, Danvers, MA 01923 États-Unis ; Tél. +1 978 750 8400 ;

https://www.copyright.com/. L'autorisation de photocopier des parties d'une norme individuelle à des fins

éducatives en classe peut également être obtenue auprès du Copyright Clearance Center.

Mise à jour de documents normatifs de l'IEEE

Il convient que les utilisateurs des documents normatifs de l'IEEE soient informés du fait que ces documents

peuvent être remplacés à tout moment par la publication de nouvelles éditions ou peuvent être amendés de

temps à autre par le biais de l'émission d'amendements, de correctifs ou d'errata. Un document IEEE officiel,

à un instant quelconque, est constitué de l'édition actuelle du document accompagnée de tous les

amendements, correctifs ou errata alors en vigueur.

Chaque Norme IEEE est soumise à un examen au moins tous les dix ans. Lorsqu'un document a plus de dix

ans et qu'il n'a pas fait l'objet d'une révision, il est raisonnable de conclure que son contenu, bien qu'il ait

encore une certaine valeur, ne reflète pas totalement l'état actuel de la technique. Les utilisateurs sont invités

à s'assurer qu'ils disposent de la dernière édition des normes IEEE.

Pour déterminer si un document donné est l'édition actuelle et s'il a été amendé par le biais de l'émission

d'amendements, de correctifs ou d'errata, il convient de visiter le site web IEEE Xplore à l'adresse IEEE

Xplore ou contact IEEE. Pour plus d'informations sur l'IEEE Standards Association ou le processus de

développement des normes IEEE, visiter le site web de l'IEEE SA.
Errata

Le cas échéant, les errata de toutes les normes IEEE sont accessibles sur le site Web de l'IEEE-SA (IEEE SA

Website). Rechercher un numéro de norme et l'année d'approbation pour accéder à la page Web de la norme

publiée. Les liens vers les errata se trouvent dans le paragraphe « Additional Resources Details ». Les errata

sont également disponibles sur IEEE Xplore. Les utilisateurs sont encouragés à faire des vérifications

régulières des errata.
Brevets
Les normes IEEE sont développées en conformité avec l'IEEE SA Patent Policy.
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 8 ----------------------
ISO/IEEE 11073-40101:2022(F)

L'attention est attirée sur la possibilité que la mise en œuvre de la présente norme puisse requérir l'utilisation

d'un objet couvert par des droits de propriété intellectuelle ou des droits analogues. Du fait de la publication

de la présente norme, aucune position n'est adoptée par l'IEEE en ce qui concerne l'existence ou la validité

de tout droit de propriété intellectuelle ou droit analogue en rapport avec celle-ci. Si le détenteur d'un brevet

ou le demandeur d'un brevet a déposé une déclaration d'assurance par le biais d'une lettre d'assurance

acceptée, alors la déclaration est incluse sur le site web de l'IEEE SA à l'adresse

https://standards.ieee.org/about/sasb/patcom/patents.html. Les lettres d'assurance peuvent indiquer si le

déposant accepte ou non d'accorder des licences dans le cadre de ces droits sans compensation ou avec des

redevances raisonnables, avec des termes et conditions raisonnables dont il peut être démontré qu'elles sont

exemptes de toute discrimination inéquitable pour les demandeurs désirant obtenir de telles licences.

D'autres revendications essentielles de brevets peuvent exister, pour lesquelles une déclaration d'assurance

n'a pas été reçue. Il n'incombe pas à l'IEEE d'identifier les Essential Patent Claims (Revendications

Essentielles de Brevets) pour lesquelles une licence peut être requise, de mener des enquêtes portant sur la

validité légale ou la portée des revendications de brevet ou de déterminer si des termes ou conditions

d'attribution de licence fournis en rapport avec la soumission d'une lettre d'assurance, s'il y en a, ou dans des

accords d'attribution de licence quelconques sont raisonnables ou non discriminatoires. Les utilisateurs de la

présente norme sont expressément avisés que la détermination de la validité de tout droit de brevet et le risque

de violation de ces droits leur incombent entièrement. Des informations supplémentaires peuvent être

obtenues auprès de l'Association des normes IEEE.
NOTE IMPORTANTE

Les normes IEEE ne garantissent ou n'assurent pas la sécurité, la sûreté, la santé ou la protection de

l'environnement, ni n'assurent une protection contre toute interférence avec ou provenant d'autres dispositifs

ou réseaux. Les activités de développement des normes IEEE prennent en compte la recherche et les

informations présentées au groupe de développement des normes lors du développement de toute

recommandation de sécurité. Les autres informations sur les pratiques relatives à la sécurité, aux modification

de technologie ou mise en œuvre de technologie, ou aux impacts des systèmes périphériques, peuvent

également être pertinentes pour les considérations de sécurité pendant la mise en œuvre de la norme. Il

incombe aux personnes appliquant des documents normatifs de l'IEEE et à leurs utilisateurs de déterminer

toutes les pratiques appropriées de protection concernant la sécurité, la sûreté, l'environnement, la santé et

les interférences, ainsi que toutes les lois et réglementations applicables, et de s'y conformer.

Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 9 ----------------------
ISO/IEEE 11073-40101:2022(F)
Participants

Au moment où la présente norme a été soumise au Conseil des Normes IEEE SA pour approbation, le Groupe

de travail Public Health Device comprenait les membres suivants :
Daidi Zhong, Président
Michael Kirwan et Christoph Fischer, Vice-présidents
Karsten Aalders John T. Collins Jerry Hahn
Charles R. Abbruscato Cory Condek Robert Hall
Nabil Abujbara Todd H. Cooper Shu Han
Maher Abuzaid David Cornejo Nathaniel Hamming
James Agnew Douglas Coup Rickey L. Hampton
Manfred Aigner Nigel Cox Sten Hanke
Jorge Alberola Hans Crommenacker Aki Harma
David Aparisi Tomio Crosley Jordan Hartmann
Lawrence Arne Allen Curtis Kai Hassing
Diego B. Arquillo Jesús Daniel Trigo Avi Hauser
Serafin Arroyo David Davenport Wolfgang Heck
Muhammad Asim Russell Davis Nathaniel Heintzman
Kit August Sushil K. Deka Charles Henderson
Doug Baird Ciro de la Vega Jun-Ho Her
David Baker Pedro de-las-Heras-Quiros Helen B. Hernandez
Anindya Bakshi Jim Dello Stritto Timothy L. Hirou
Abira Balanadarasan Kent Dicks Allen Hobbs
Ananth Balasubramanian Hyoungho Do Alex Holland
Sunlee Bang Jonathan Dougherty Arto Holopainen
M. Jonathan Barkley Xiaolian Duan Kris Holtzclaw
Gilberto Barrón Sourav Dutta Robert Hoy
David Bean Jakob Ehrensvard Anne Huang
John Bell Fredrik Einberg Zhiyong Huang
Olivia Bellamou-Huet Javier Escayola Calvo Ron Huby
Rudy Belliardi Mark Estes David Hughes
Daniel Bernstein Leonardo Estevez Robert D. Hughes
George A. Bertos Bosco T. Fernandes Jiyoung Huh
Chris Biernacki Morten Flintrup Hugh Hunter
Ola Björsne Joseph W. Forler Philip O. Isaacson
Thomas Blackadar Russell Foster Atsushi Ito
Thomas Bluethner Eric Freudenthal Michael Jaffe
Douglas P. Bogia Matthias Frohner Praduman Jain
Xavier Boniface Ken Fuchs Hu Jin
Shannon Boucousis Jing Gao Danny Jochelson
Julius Broma Marcus Garbe Akiyoshi Kabe
Lyle G. Bullock, Jr. John Garguilo Steve Kahle
Bernard Burg Liang Ge Tomio Kamioka
Chris Burns Rick Geimer James J. Kang
Jeremy Byford-Rew Igor Gejdos Kei Kariya
Satya Calloji Ferenc Gerbovics Andy Kaschl
Carole C. Carey Alan Godfrey Junzo Kashihara
Craig Carlson Nicolae Goga Colin Kennedy
Santiago Carot-Nemesio Julian Goldman Ralph Kent
Randy W. Carroll Raul Gonzalez Gomez Laurie M. Kermes
Seungchul Chae Chris Gough Ahmad Kheirandish
Peggy Chien Channa Gowda Junhyung Kim
David Chiu Charles M. Gropper Minho Kim
Jinyong Choi Amit Gupta Min-Joon Kim
Chia-Chin Chong Jeff Guttmacher Taekon Kim
Saeed A. Choudhary Rasmus Haahr Tetsuya Kimura
Jinhan Chung Christian Habermann Alfred Kloos
John A. Cogan Michael Hagerty Jeongmee Koh
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 10 ----------------------
ISO/IEEE 11073-40101:2022(F)
Jean-Marc Koller Marco Paleari John (Ivo) Stivoric
John Koon Bud Panjwani Raymond A. Strickland
Patty Krantz Carl Pantiskas Chandrasekaran Subramaniam
Raymond Krasinski Harry P. Pappas Hermanni Suominen
Alexander Kraus Hanna Park Lee Surprenant
Ramesh Krishna Jong-Tae Park Ravi Swami
Geoffrey Kruse Myungeun Park Ray Sweidan
Falko Kuester Soojun Park Na Tang
Rafael Lajara Phillip E. Pash Haruyuyki Tatsumi
Pierre Landau TongBi Pei Isabel Tejero
Jaechul Lee Soren Petersen Tom Thompson
JongMuk Lee James Petisce Jonas Tirén
Kyong Ho Lee Peter Piction Janet Traub
Rami Lee Michael Pliskin Gary Tschautscher
Sungkee Lee Varshney Prabodh Masato Tsuchid
Woojae Lee Jeff Price Ken Tubman
Qiong Li Harald Prinzhorn Akib Uddin
Xiangchen Li Harry Qiu Sunil Unadkat
Zhuofang Li Tanzilur Rahman Fabio Urbani
Patrick Lichter Phillip Raymond Philipp Urbauer
Jisoon Lim Terrie Reed Laura Vanzago
Joon-Ho Lim Barry Reinhold Alpo Värri
Xiaoming Liu Brian Reinhold Andrei Vasilateanu
Wei-Jung Lo Melvin I. Reynolds Dalimar Velez
Charles Lowe John G. Rhoads Martha Velezis
Don Ludolph Jeffrey S. Robbins Rudi Voon
Christian Luszick Chris Roberts Barry Vornbrock
Bob MacWilliams Stefan Robert Isobel Walker
Srikkanth Madhurbootheswaran Scott M. Robertson David Wang
Miriam L. Makhlouf Timothy Robertson Linling Wang
Romain Marmot David Rosales Jerry P. Wang
Sandra Martinez Bill Saltzstein Yao Wang
Miguel Martínez de Giovanna Sannino Yi Wang
Espronceda Cámara Jose A. Santos-Cadenas Steve Warren
Peter Mayhew Stefan Sauermann Fujio Watanabe
Jim McCain John Sawyer Toru Watsuji
László Meleg Alois Schloegl David Weissman
Alexander Mense Paul S. Schluter Kathleen Wible
Behnaz Minaei Mark G. Schnell Paul Williamson
Jinsei Miyazaki Richard A. Schrenker Jan Wittenber
Erik Moll Antonio Scorpiniti Jia-Rong Wu
Darr Moore KwangSeok Seo Will Wykeham
Chris Morel Riccardo Serafin Ariton Xhafa
Robert Moskowitz Sid Shaw Ricky Yang
Carsten Mueglitz Frank Shen Melanie S. Yeung
Soundharya Nagasubramanian Min Shih Qiang Yin
Alex Neefus Mazen Shihabi Done-Sik Yoo
Trong-Nghia Nguyen-Dobinsky Redmond Shouldice Zhi Yu
Michael E. Nidd Sternly K. Simon Jianchao Zeng
Jim Niswander Marjorie Skubic Jason Zhang
Hiroaki Niwamoto Robert Smith Jie Zhao
Thomas Norgall Ivan Soh Thomas Zhao
Yoshiteru Nozoe Motoki Sone Yuanhong Zhong
Abraham Ofek Emily Sopensky Qing Zhou
Brett Olive Rajagopalan Srinivasan Miha Zoubek
Begonya Otal Nicholas Steblay Szymon Zyskoter
Lars Steubesand
Copyright © 2021 IEEE. Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/IEEE 11073-40101:2022(F)

La présente norme a été votée par les membres suivants du groupe de vote individuel. Les choix offerts aux

votants étaient les suivants : approbation, désaccord ou abstention.
Robert Aiello Randall Groves Bansi Patel
Johann Amsenga Robert Heile Dalibor Pokrajac
Bjoern Andersen Werner Hoelzl Beth Pumo
Pradeep Balachandran Raj Jain Stefan Schlichting
Demetrio Bucaneg, Jr. Martin Kasparick Thomas Starai
Lyle G. Bullock, Jr. Stuart Kerry Mark-Rene Uchida
Craig Carlson Edmund Kienast John Vergis
Juan Carreon Yongbum Kim J. Wiley
Pin Chang Raymond Krasinski Yu Yuan
Malcolm Clarke Javier Luiso Oren Yuen
Christoph Fischer H. Moll Janusz Zalewski
David Fuschi Nick S. A. Nikjoo Daidi Zhong

Lorsque le Conseil des normes IEEE SA a approuvé la présente norme le 24 septembre 2020, il comprenait

les membres suivants :
Gary Hoffman, Président
Jon Walter Rosdahl, Vice-président
John D. Kulick, Ancien président
Konstantinos Karachalios, Secrétaire
Ted Burse David J. Law Mehmet Ulema
Doug Edwards Howard Li Lei Wang
J. Travis Griffith Dong Liu Sha Wei
Grace Gu Kevin Lu Philip B. Winston
Guido R. Hiertz Paul Nikolich Daidi Zhong
Joseph L. Koepfinger* Damir Novosel Jingyi Zhou
Dorothy Stanley
*Membre émérite
Copyright © 2021 IEEE. Tous droits réservés.
---------------------- Page: 12 ----------------------
ISO/IEEE 11073-40101:2022(F)
Introduction

Cette introduction ne fait pas partie de la norme IEEE 11073-40101-2020, Informatique de santé — Interopérabilité des

dispositifs — Partie 40101 : Fondamentaux — Cybersécurité — Processus pour l’évaluation de la vulnérabilité.

Les utilisateurs de dispositifs de santé personnels (PHD) et de dispositifs sur les sites de soins (PoCD) ont

des attentes implicites en matière de commodité, de connectivité, d'accessibilité et de sécurité des données.

Par exemple, ils s'
...

FINAL
INTERNATIONAL ISO/IEEE/
DRAFT
STANDARD FDIS
11073-40101
ISO/TC 215
Health informatics — Device
Secretariat: ANSI
interoperability —
Voting begins on:
2021-09-13
Part 40101:
Voting terminates on:
Foundational — Cybersecurity
2022-01-31
— Processes for vulnerability
assessment
This document is circulated as received from the committee secretariat.
FAST TRACK PROCEDURE
ISO/CEN PARALLEL PROCESSING
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/IEEE FDIS 11073-40101:2021(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
NATIONAL REGULATIONS. IEEE 2021
---------------------- Page: 1 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© IEEE 2021

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from IEEE at the address below.

Institute of Electrical and Electronics Engineers, Inc
3 Park Avenue, New York
NY 10016-5997, USA
Email: stds.ipr@ieee.org
Website: www.ieee.org
Published in Switzerland
ii © IEEE 2021 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEEE 11073-40101:2021(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO

collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted (see www.iso.org/directives).

IEEE Standards documents are developed within the IEEE Societies and the Standards Coordinating

Committees of the IEEE Standards Association (IEEE-SA) Standards Board. The IEEE develops its

standards through a consensus development process, approved by the American National Standards

Institute, which brings together volunteers representing varied viewpoints and interests to achieve the

final product. Volunteers are not necessarily members of the Institute and serve without compensation.

While the IEEE administers the process and establishes rules to promote fairness in the consensus

development process, the IEEE does not independently evaluate, test, or verify the accuracy of any of the

information contained in its standards.

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any

patent rights identified during the development of the document will be in the Introduction and/or on

the ISO list of patent declarations received (see www.iso.org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the World

Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see

www.iso.org/iso/foreword.html.

ISO/IEEE 11073-40101 was prepared by the IEEE 11073 Standards Committee of the IEEE Engineering

in Medicine and Biology Society (as IEEE Std 11073-40101-2020) and drafted in accordance with its

editorial rules. It was adopted, under the “fast-track procedure” defined in the Partner Standards

Development Organization cooperation agreement between ISO and IEEE, by Technical Committee

ISO/TC 215, Health informatics.

A list of all parts in the ISO/IEEE 11073 series can be found on the ISO website.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www.iso.org/members.html
© IEEE 2021 – All rights reserved iii
---------------------- Page: 3 ----------------------
IEEE Std 11073-40101™-2020
Health informatics—Device interoperability
Part 40101:
Foundational—Cybersecurity—
Processes for vulnerability assessment
Developed by the
IEEE 11073 Standards Committee
of the
IEEE Engineering in Medicine and Biology Society
Approved 24 September 2020
IEEE SA Standards Board
---------------------- Page: 4 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)

Abstract: For Personal Health Devices (PHDs) and Point-of-Care Devices (PoCDs), an iterative,

systematic, scalable, and auditable approach to identification of cybersecurity vulnerabilities and

estimation of risk is defined by this standard. The standard presents one approach to iterative

vulnerability assessment that uses the Spoofing, Tampering, Repudiation, Information Disclosure,

Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded

Common Vulnerability Scoring System (eCVSS). The assessment includes system context, system

decomposition, pre-mitigation scoring, mitigation, and post-mitigation scoring and iterates until the

remaining vulnerabilities are reduced to an acceptable level of risk.

Keywords: cybersecurity, embedded Common Vulnerability Scoring System, IEEE 11073-40101™,

medical device communication, Personal Health Devices, Point-of-Care Devices, STRIDE,

vulnerability assessment
The Institute of Electrical and Electronics Engineers, Inc.
3 Park Avenue, New York, NY 10016-5997, USA
Copyright © 2021 by The Institute of Electrical and Electronics Engineers, Inc.

All rights reserved. Published 8 January 2021. Printed in the United States of America.

IEEE is a registered trademark in the U.S. Patent & Trademark Office, owned by The Institute of Electrical and Electronics

Engineers, Incorporated.

Microsoft and Excel are registered trademarks of Microsoft Corporation in the United States and/or other countries.

Open Web Application Security Project and OWASP are registered trademarks of the OWASP Foundation, Inc.

PDF: ISBN 978-1-5044-7086-5 STD24423
Print: ISBN 978-1-5044-7087-2 STDPD24423
IEEE prohibits discrimination, harassment, and bullying.

For more information, visit https://www.ieee.org/about/corporate/governance/p9-26.html.

No part of this publication may be reproduced in any form, in an electronic retrieval system or otherwise, without the prior written permission

of the publisher.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 5 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Important Notices and Disclaimers Concerning IEEE Standards Documents

IEEE Standards documents are made available for use subject to important notices and legal disclaimers.

These notices and disclaimers, or a reference to this page (https://standards.ieee.org/ipr/disclaimers.html),

appear in all standards and may be found under the heading “Important Notices and Disclaimers Concerning

IEEE Standards Documents.”
Notice and Disclaimer of Liability Concerning the Use of IEEE Standards
Documents

IEEE Standards documents are developed within the IEEE Societies and the Standards Coordinating

Committees of the IEEE Standards Association (IEEE SA) Standards Board. IEEE develops its standards

through an accredited consensus development process, which brings together volunteers representing varied

viewpoints and interests to achieve the final product. IEEE Standards are documents developed by volunteers

with scientific, academic, and industry-based expertise in technical working groups. Volunteers are not

necessarily members of IEEE or IEEE SA, and participate without compensation from IEEE. While IEEE

administers the process and establishes rules to promote fairness in the consensus development process,

IEEE does not independently evaluate, test, or verify the accuracy of any of the information or the soundness

of any judgments contained in its standards.

IEEE makes no warranties or representations concerning its standards, and expressly disclaims all warranties,

express or implied, concerning this standard, including but not limited to the warranties of merchantability,

fitness for a particular purpose and non-infringement. In addition, IEEE does not warrant or represent that

the use of the material contained in its standards is free from patent infringement. IEEE standards documents

are supplied “AS IS” and “WITH ALL FAULTS.”

Use of an IEEE standard is wholly voluntary. The existence of an IEEE Standard does not imply that there

are no other ways to produce, test, measure, purchase, market, or provide other goods and services related to

the scope of the IEEE standard. Furthermore, the viewpoint expressed at the time a standard is approved and

issued is subject to change brought about through developments in the state of the art and comments received

from users of the standard.

In publishing and making its standards available, IEEE is not suggesting or rendering professional or other

services for, or on behalf of, any person or entity, nor is IEEE undertaking to perform any duty owed by any

other person or entity to another. Any person utilizing any IEEE Standards document, should rely upon his

or her own independent judgment in the exercise of reasonable care in any given circumstances or, as

appropriate, seek the advice of a competent professional in determining the appropriateness of a given IEEE

standard.
IN NO EVENT SHALL IEEE BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO: THE
NEED TO PROCURE SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR
BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
OTHERWISE) ARISING IN ANY WAY OUT OF THE PUBLICATION, USE OF, OR RELIANCE UPON
ANY STANDARD, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE AND
REGARDLESS OF WHETHER SUCH DAMAGE WAS FORESEEABLE.
Translations

The IEEE consensus development process involves the review of documents in English only. In the event

that an IEEE standard is translated, only the English version published by IEEE is the approved IEEE

standard.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 6 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Official statements

A statement, written or oral, that is not processed in accordance with the IEEE SA Standards Board

Operations Manual shall not be considered or inferred to be the official position of IEEE or any of its

committees and shall not be considered to be, nor be relied upon as, a formal position of IEEE. At lectures,

symposia, seminars, or educational courses, an individual presenting information on IEEE standards shall

make it clear that the presenter’s views should be considered the personal views of that individual rather than

the formal position of IEEE, IEEE SA, the Standards Committee, or the Working Group.

Comments on standards

Comments for revision of IEEE Standards documents are welcome from any interested party, regardless of

membership affiliation with IEEE or IEEE SA. However, IEEE does not provide interpretations,

consulting information, or advice pertaining to IEEE Standards documents.

Suggestions for changes in documents should be in the form of a proposed change of text, together with

appropriate supporting comments. Since IEEE standards represent a consensus of concerned interests, it is

important that any responses to comments and questions also receive the concurrence of a balance of interests.

For this reason, IEEE and the members of its Societies and Standards Coordinating Committees are not able

to provide an instant response to comments, or questions except in those cases where the matter has

previously been addressed. For the same reason, IEEE does not respond to interpretation requests. Any person

who would like to participate in evaluating comments or in revisions to an IEEE standard is welcome to join

the relevant IEEE working group. You can indicate interest in a working group using the Interests tab in the

Manage Profile & Interests area of the IEEE SA myProject system. An IEEE Account is needed to access

the application.
Comments on standards should be submitted using the Contact Us form.
Laws and regulations

Users of IEEE Standards documents should consult all applicable laws and regulations. Compliance with the

provisions of any IEEE Standards document does not constitute compliance to any applicable regulatory

requirements. Implementers of the standard are responsible for observing or referring to the applicable

regulatory requirements. IEEE does not, by the publication of its standards, intend to urge action that is not

in compliance with applicable laws, and these documents may not be construed as doing so.

Data privacy

Users of IEEE Standards documents should evaluate the standards for considerations of data privacy and data

ownership in the context of assessing and using the standards in compliance with applicable laws and

regulations.
Copyrights

IEEE draft and approved standards are copyrighted by IEEE under US and international copyright laws. They

are made available by IEEE and are adopted for a wide variety of both public and private uses. These include

both use, by reference, in laws and regulations, and use in private self-regulation, standardization, and the

promotion of engineering practices and methods. By making these documents available for use and adoption

by public authorities and private users, IEEE does not waive any rights in copyright to the documents.

Photocopies

Subject to payment of the appropriate licensing fees, IEEE will grant users a limited, non-exclusive license

to photocopy portions of any individual standard for company or organizational internal use or individual,

non-commercial use only. To arrange for payment of licensing fees, please contact Copyright Clearance

Center, Customer Service, 222 Rosewood Drive, Danvers, MA 01923 USA; +1 978 750 8400;

https://www.copyright.com/. Permission to photocopy portions of any individual standard for educational

classroom use can also be obtained through the Copyright Clearance Center.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 7 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Updating of IEEE Standards documents

Users of IEEE Standards documents should be aware that these documents may be superseded at any time

by the issuance of new editions or may be amended from time to time through the issuance of amendments,

corrigenda, or errata. An official IEEE document at any point in time consists of the current edition of the

document together with any amendments, corrigenda, or errata then in effect.

Every IEEE standard is subjected to review at least every 10 years. When a document is more than 10 years

old and has not undergone a revision process, it is reasonable to conclude that its contents, although still of

some value, do not wholly reflect the present state of the art. Users are cautioned to check to determine that

they have the latest edition of any IEEE standard.

In order to determine whether a given document is the current edition and whether it has been amended

through the issuance of amendments, corrigenda, or errata, visit IEEE Xplore or contact IEEE. For more

information about the IEEE SA or IEEE’s standards development process, visit the IEEE SA Website.

Errata

Errata, if any, for all IEEE standards can be accessed on the IEEE SA Website. Search for standard number

and year of approval to access the web page of the published standard. Errata links are located under the

Additional Resources Details section. Errata are also available in IEEE Xplore. Users are encouraged to

periodically check for errata.
Patents
IEEE Standards are developed in compliance with the IEEE SA Patent Policy.

Attention is called to the possibility that implementation of this standard may require use of subject matter

covered by patent rights. By publication of this standard, no position is taken by the IEEE with respect to the

existence or validity of any patent rights in connection therewith. If a patent holder or patent applicant has

filed a statement of assurance via an Accepted Letter of Assurance, then the statement is listed on the IEEE

SA Website at https://standards.ieee.org/about/sasb/patcom/patents.html. Letters of Assurance may indicate

whether the Submitter is willing or unwilling to grant licenses under patent rights without compensation or

under reasonable rates, with reasonable terms and conditions that are demonstrably free of any unfair

discrimination to applicants desiring to obtain such licenses.

Essential Patent Claims may exist for which a Letter of Assurance has not been received. The IEEE is not

responsible for identifying Essential Patent Claims for which a license may be required, for conducting

inquiries into the legal validity or scope of Patents Claims, or determining whether any licensing terms or

conditions provided in connection with submission of a Letter of Assurance, if any, or in any licensing

agreements are reasonable or non-discriminatory. Users of this standard are expressly advised that

determination of the validity of any patent rights, and the risk of infringement of such rights, is entirely their

own responsibility. Further information may be obtained from the IEEE Standards Association.

IMPORTANT NOTICE

IEEE Standards do not guarantee or ensure safety, security, health, or environmental protection, or ensure

against interference with or from other devices or networks. IEEE Standards development activities consider

research and information presented to the standards development group in developing any safety

recommendations. Other information about safety practices, changes in technology or technology

implementation, or impact by peripheral systems also may be pertinent to safety considerations during

implementation of the standard. Implementers and users of IEEE Standards documents are responsible for

determining and complying with all appropriate safety, security, environmental, health, and interference

protection practices and all applicable laws and regulations.
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 8 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Participants

At the time this standard was submitted to the IEEE SA Standards Board for approval, the Public Health

Device Working Group had the following membership:
Daidi Zhong, Chair
Michael Kirwan and Christoph Fischer, Vice Chairs
Karsten Aalders John T. Collins Jerry Hahn
Charles R. Abbruscato Cory Condek Robert Hall
Nabil Abujbara Todd H. Cooper Shu Han
Maher Abuzaid David Cornejo Nathaniel Hamming
James Agnew Douglas Coup Rickey L. Hampton
Manfred Aigner Nigel Cox Sten Hanke
Jorge Alberola Hans Crommenacker Aki Harma
David Aparisi Tomio Crosley Jordan Hartmann
Lawrence Arne Allen Curtis Kai Hassing
Diego B. Arquillo Jesús Daniel Trigo Avi Hauser
Serafin Arroyo David Davenport Wolfgang Heck
Muhammad Asim Russell Davis Nathaniel Heintzman
Kit August Sushil K. Deka Charles Henderson
Doug Baird Ciro de la Vega Jun-Ho Her
David Baker Pedro de-las-Heras-Quiros Helen B. Hernandez
Anindya Bakshi Jim Dello Stritto Timothy L. Hirou
Abira Balanadarasan Kent Dicks Allen Hobbs
Ananth Balasubramanian Hyoungho Do Alex Holland
Sunlee Bang Jonathan Dougherty Arto Holopainen
M. Jonathan Barkley Xiaolian Duan Kris Holtzclaw
Gilberto Barrón Sourav Dutta Robert Hoy
David Bean Jakob Ehrensvard Anne Huang
John Bell Fredrik Einberg Zhiyong Huang
Olivia Bellamou-Huet Javier Escayola Calvo Ron Huby
Rudy Belliardi Mark Estes David Hughes
Daniel Bernstein Leonardo Estevez Robert D. Hughes
George A. Bertos Bosco T. Fernandes Jiyoung Huh
Chris Biernacki Morten Flintrup Hugh Hunter
Ola Björsne Joseph W. Forler Philip O. Isaacson
Thomas Blackadar Russell Foster Atsushi Ito
Thomas Bluethner Eric Freudenthal Michael Jaffe
Douglas P. Bogia Matthias Frohner Praduman Jain
Xavier Boniface Ken Fuchs Hu Jin
Shannon Boucousis Jing Gao Danny Jochelson
Julius Broma Marcus Garbe Akiyoshi Kabe
Lyle G. Bullock, Jr. John Garguilo Steve Kahle
Bernard Burg Liang Ge Tomio Kamioka
Chris Burns Rick Geimer James J. Kang
Jeremy Byford-Rew Igor Gejdos Kei Kariya
Satya Calloji Ferenc Gerbovics Andy Kaschl
Carole C. Carey Alan Godfrey Junzo Kashihara
Craig Carlson Nicolae Goga Colin Kennedy
Santiago Carot-Nemesio Julian Goldman Ralph Kent
Randy W. Carroll Raul Gonzalez Gomez Laurie M. Kermes
Seungchul Chae Chris Gough Ahmad Kheirandish
Peggy Chien Channa Gowda Junhyung Kim
David Chiu Charles M. Gropper Minho Kim
Jinyong Choi Amit Gupta Min-Joon Kim
Chia-Chin Chong Jeff Guttmacher Taekon Kim
Saeed A. Choudhary Rasmus Haahr Tetsuya Kimura
Jinhan Chung Christian Habermann Alfred Kloos
John A. Cogan Michael Hagerty Jeongmee Koh
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 9 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Jean-Marc Koller Marco Paleari John (Ivo) Stivoric
John Koon Bud Panjwani Raymond A. Strickland
Patty Krantz Carl Pantiskas Chandrasekaran Subramaniam
Raymond Krasinski Harry P. Pappas Hermanni Suominen
Alexander Kraus Hanna Park Lee Surprenant
Ramesh Krishna Jong-Tae Park Ravi Swami
Geoffrey Kruse Myungeun Park Ray Sweidan
Falko Kuester Soojun Park Na Tang
Rafael Lajara Phillip E. Pash Haruyuyki Tatsumi
Pierre Landau TongBi Pei Isabel Tejero
Jaechul Lee Soren Petersen Tom Thompson
JongMuk Lee James Petisce Jonas Tirén
Kyong Ho Lee Peter Piction Janet Traub
Rami Lee Michael Pliskin Gary Tschautscher
Sungkee Lee Varshney Prabodh Masato Tsuchid
Woojae Lee Jeff Price Ken Tubman
Qiong Li Harald Prinzhorn Akib Uddin
Xiangchen Li Harry Qiu Sunil Unadkat
Zhuofang Li Tanzilur Rahman Fabio Urbani
Patrick Lichter Phillip Raymond Philipp Urbauer
Jisoon Lim Terrie Reed Laura Vanzago
Joon-Ho Lim Barry Reinhold Alpo Värri
Xiaoming Liu Brian Reinhold Andrei Vasilateanu
Wei-Jung Lo Melvin I. Reynolds Dalimar Velez
Charles Lowe John G. Rhoads Martha Velezis
Don Ludolph Jeffrey S. Robbins Rudi Voon
Christian Luszick Chris Roberts Barry Vornbrock
Bob MacWilliams Stefan Robert Isobel Walker
Srikkanth Madhurbootheswaran Scott M. Robertson David Wang
Miriam L. Makhlouf Timothy Robertson Linling Wang
Romain Marmot David Rosales Jerry P. Wang
Sandra Martinez Bill Saltzstein Yao Wang
Miguel Martínez de Yi Wang
Giovanna Sannino
Espronceda Cámara Jose A. Santos-Cadenas Steve Warren
Peter Mayhew Stefan Sauermann Fujio Watanabe
Jim McCain John Sawyer Toru Watsuji
László Meleg Alois Schloegl David Weissman
Alexander Mense Paul S. Schluter Kathleen Wible
Behnaz Minaei Mark G. Schnell Paul Williamson
Jinsei Miyazaki Richard A. Schrenker Jan Wittenber
Erik Moll Antonio Scorpiniti Jia-Rong Wu
Darr Moore KwangSeok Seo Will Wykeham
Chris Morel Riccardo Serafin Ariton Xhafa
Robert Moskowitz Sid Shaw Ricky Yang
Carsten Mueglitz Frank Shen Melanie S. Yeung
Soundharya Nagasubramanian Min Shih Qiang Yin
Alex Neefus Mazen Shihabi Done-Sik Yoo
Trong-Nghia Nguyen-Dobinsky Redmond Shouldice Zhi Yu
Michael E. Nidd Sternly K. Simon Jianchao Zeng
Jim Niswander Marjorie Skubic Jason Zhang
Hiroaki Niwamoto Robert Smith Jie Zhao
Thomas Norgall Ivan Soh Thomas Zhao
Yoshiteru Nozoe Motoki Sone Yuanhong Zhong
Abraham Ofek Emily Sopensky Qing Zhou
Brett Olive Rajagopalan Srinivasan Miha Zoubek
Begonya Otal Nicholas Steblay Szymon Zyskoter
Lars Steubesand
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 10 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)

The following members of the individual balloting group voted on this standard. Balloters may have voted

for approval, disapproval, or abstention.
Robert Aiello Randall Groves Bansi Patel
Johann Amsenga Robert Heile Dalibor Pokrajac
Bjoern Andersen Werner Hoelzl Beth Pumo
Pradeep Balachandran Raj Jain Stefan Schlichting
Demetrio Bucaneg, Jr. Martin Kasparick Thomas Starai
Lyle G. Bullock, Jr. Stuart Kerry Mark-Rene Uchida
Craig Carlson Edmund Kienast John Vergis
Juan Carreon Yongbum Kim J. Wiley
Pin Chang Raymond Krasinski Yu Yuan
Malcolm Clarke Javier Luiso Oren Yuen
Christoph Fischer H. Moll Janusz Zalewski
David Fuschi Nick S. A. Nikjoo Daidi Zhong

When the IEEE SA Standards Board approved this standard on 24 September 2020, it had the following

membership:
Gary Hoffman, Chair
Jon Walter Rosdahl, Vice Chair
John D. Kulick, Past Chair
Konstantinos Karachalios, Secretary
Ted Burse David J. Law Mehmet Ulema
Doug Edwards Howard Li Lei Wang
J. Travis Griffith Dong Liu Sha Wei
Grace Gu Kevin Lu Philip B. Winston
Guido R. Hiertz Paul Nikolich Daidi Zhong
Joseph L. Koepfinger* Damir Novosel Jingyi Zhou
Dorothy Stanley
*Member Emeritus
Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 11 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Introduction

This introduction is not part of IEEE Std 11073-40101-2020, Health informatics—Device interoperability—Part 40101:

Foundational—Cybersecurity—Processes for vulnerability assessment.

Users of Personal Health Devices (PHDs) and Point-of-Care Devices (PoCDs) have implicit expectations on

convenience, connectivity, accessibility, and security of data. For example, they expect to connect

PHDs/PoCDs to their mobile devices and dashboards, view the data in the cloud, and easily share the

information with clinicians or care providers. In some cases, the users themselves are taking action to build

connections between PHDs/PoCDs, mobile devices, and the cloud to create the desired system. While many

manufacturers are working on solving PHD/PoCD connectivity challenges with proprietary solutions, no

standardized approach exists to provide secure plug-and-play interoperability.

The ISO/IEEE 11073 PHDs/PoCDs family of standards, Bluetooth Special Interest Group profiles and

services specifications, and the Continua Design Guidelines (PCHAlliance [B7]) were developed to

specifically address plug-and-play interoperability of PHDs/PoCDs (e.g., physical activity monitor,

physiological monitor, pulse oximeter, sleep apnoea breathing therapy equipment, ventilator, insulin delivery

device, infusion pump, continuous glucose monitor). In this context, the following terms have specific

meanings:

 Interoperability is the ability of client components to communicate and share data with service

components in an unambiguous and predictable manner as well as to understand and use the

information that is exchanged (PCHAlliance [B7]).

 Plug and play are all the user has to do to make a connection—the systems automatically detect,

configure, and communicate without any other human interaction (ISO/IEEE 11073-10201 [B5]).

Within the context of secure plug-and-play interoperability, cybersecurity is the process and capability of

preventing unauthorized access or modification, misuse, denial of use, or the unauthorized use of information

that is stored on, accessed from, or transferred to and from a PHD/PoCD. This standard describes the process

part of cybersecurity for transport-independent applications and information profiles of PHDs/PoCDs. These

profiles define data exchange, data representation, and terminology for communication between agents (e.g.,

pulse oximeters, sleep apnoea breathing therapy equipment) and connected devices (e.g., health appliances,

set top boxes, cell phones, personal computers, monitoring cockpits, critical care dashboards).

For PHDs/PoCDs, this standard defines an iterative, systematic, scalable, and auditable approach to

identification of cybersecurity vulnerabilities and estimation of risk. This standard presents one approach to

iterative vulnerability assessment that uses the Spoofing, Tampering, Repudiation, Information Disclosure,

Denial of Service, and Elevation of Privilege (STRIDE) classification scheme and the embedded Common

Vulnerability Scoring System (eCVSS). The assessment includes system context, system decomposition, pre-

mitigation scoring, mitigation, and post-mitigation scoring and iterates until the remaining vulnerabilities are

reduced to an acceptable level of risk.

The numbers in brackets correspond to the numbers of the bibliography in Annex A.

Copyright © 2021 IEEE. All rights reserved.
---------------------- Page: 12 ----------------------
ISO/IEEE FDIS 11073-40101:2021(E)
Contents
1. Overview .......................................
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.