本期�����,請同小編一起了解各個監(jiān)管機(jī)構(gòu)對于網(wǎng)絡(luò)安全的要求��。
FDA的要求:
美國食品與藥物管理局在官網(wǎng)上詳細(xì)列舉了其近年來改進(jìn)醫(yī)療設(shè)備網(wǎng)絡(luò)安全的相關(guān)措施,原因是FDA發(fā)現(xiàn)各類醫(yī)療設(shè)備既存在一定收益��,也都帶來多種風(fēng)險(xiǎn)���。對于美國食品與藥物管理局(簡稱FDA)而言��,當(dāng)能夠以合理方式確保受眾收益超過風(fēng)險(xiǎn)時(shí)���,其即允許廠商將相關(guān)設(shè)備投放市場��。如今,醫(yī)療設(shè)備正越來越多地與互聯(lián)網(wǎng)�����、醫(yī)院網(wǎng)絡(luò)以及其它醫(yī)療設(shè)備對接�����,旨在改善醫(yī)療保健效能并增強(qiáng)醫(yī)療服務(wù)機(jī)構(gòu)為患者提供的診療能力。但在交付這些能力的同時(shí)�����,此類設(shè)備也將增強(qiáng)網(wǎng)絡(luò)安全威脅水平���;與其它計(jì)算機(jī)系統(tǒng)一樣��,醫(yī)療設(shè)備可能受到安全漏洞的影響��,進(jìn)而導(dǎo)致設(shè)備安全性與有效性遭到破壞��。
FDA準(zhǔn)備和實(shí)施了很多舉措�����,具體包括:
2017年5月18日至19日,F(xiàn)DA與國家科學(xué)基金會(簡稱NSF)以及國土安全部科學(xué)技術(shù)部(簡稱DHS���,S&T)合作舉辦公共研討會,題為《醫(yī)療器械網(wǎng)絡(luò)安全:監(jiān)管科學(xué)差距分析》��。此次研討會的目標(biāo)在于研究FDA目前正在參與的新興研究機(jī)遇; 促進(jìn)利益相關(guān)方合作以確保監(jiān)管科學(xué)挑戰(zhàn); 討論應(yīng)對這些挑戰(zhàn)的對應(yīng)創(chuàng)新戰(zhàn)略; 同時(shí)鼓勵各利益相關(guān)方社區(qū)積極開發(fā)分析工具��、流程與最佳實(shí)踐��,從而提升醫(yī)療設(shè)備的安全水平��。
2017年1月12日,F(xiàn)DA就《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》指南研討會�����,邀請各利益相關(guān)方出席以了解指導(dǎo)內(nèi)容并提出相關(guān)疑問���。此份指南的最終版本發(fā)布于2016年12月27日,其中向各制造商通報(bào)了FDA方面就醫(yī)療設(shè)備上市后���,立足產(chǎn)品整體生命周期之內(nèi)的市場營銷與分銷流程,提出的網(wǎng)絡(luò)安全漏洞結(jié)構(gòu)化及全面管理方法層面的相關(guān)建議�����。
2018年10月18日��,F(xiàn)DA發(fā)布《醫(yī)療器械上市前網(wǎng)絡(luò)安全管理》規(guī)定。此份指南性草案向行業(yè)提供關(guān)于網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)���、標(biāo)注以及FDA為可能存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的設(shè)備在上市前申報(bào)文件中需要體現(xiàn)的建議性內(nèi)容。
2018年10月���,F(xiàn)DA為MITRE的《醫(yī)療設(shè)備網(wǎng)絡(luò)安全區(qū)域性事件準(zhǔn)備與響應(yīng)手冊》提供指導(dǎo)性支持。此份手冊描述了準(zhǔn)備事務(wù)的具體類型���,旨在幫助各醫(yī)療保健服務(wù)組織(簡稱HDO)更好地為涉及醫(yī)療設(shè)備的網(wǎng)絡(luò)安全事件做好準(zhǔn)備��,并為產(chǎn)品開發(fā)人員提供足以解決大規(guī)模、影響廣泛的安全事件的必要方法�����,最終避免事件對患者人身安全造成影響��。
除此之外��,F(xiàn)DA還與多家利益相關(guān)方簽訂了兩份新的諒解備忘錄���,計(jì)劃建立起MedISAO與Sensato-ISAO兩大信息共享分析組織(簡稱ISAO)。這些共享分析組織的目標(biāo)�����,在于為制造商提供與FDA共享關(guān)于潛在安全漏洞與新興威脅信息的機(jī)會�����,并通過盡早解決這些問題以幫助制造商更好地保護(hù)患者安全��。
《醫(yī)療器械上市前網(wǎng)絡(luò)安全管理》General Principles一般原則
Address cybersecurity during design &development 在設(shè)計(jì)和開發(fā)過程中解決網(wǎng)絡(luò)安全問題
Identification of assets, threats, and vulnerabilities 識別資產(chǎn)�����、威脅和漏洞
Consider type & likelihoodvulnerabilities may result in patient harm 考慮漏洞的類型和可能性�����,以及可能導(dǎo)致病人的傷害
Assess the likelihood of exploit 評估傷害產(chǎn)生的可能性
Assess residual risk, risk acceptance 評估剩余風(fēng)險(xiǎn),風(fēng)險(xiǎn)接受
Consider device intended use and useenvironment考慮設(shè)備的預(yù)期用途和使用環(huán)境
CybersecurityFunctions網(wǎng)絡(luò)安全功能:
Security controls appropriate for datainterfaces 適合于數(shù)據(jù)接口的安全控制
Balance security safeguards and usability 平衡安全保障和可用性
Security controls appropriate for intended 適合于目標(biāo)用戶的安全控制
Security controls should not hinderintended use during emergency situations 安全控制不應(yīng)妨礙在緊急情況下的預(yù)期使用
Detail security controls chosen for device 詳細(xì)的安全控制選擇設(shè)備
Justification for security controls chosenor not chosen 選擇或不選擇安全控制的理由
FDA把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)歸為兩個類別:
Medical devices capable of connecting(wirelessly or hard-wired) to another device, to the Internet or other network,or to portable media (e.g. USB or CD) are more vulnerable to cybersecuritythreats than devices that are not connected.
• Tier 1 “Higher Cybersecurity Risk”
A device is a Tier 1 device if thefollowing criteria are met:
1)The device is capable of connecting(e.g., wired, wirelessly) to another medical or non-medical product, or to anetwork, or to the Internet; AND
1類是指該設(shè)備能夠連接(如有線���、無線)到另一醫(yī)療或非醫(yī)療產(chǎn)品、網(wǎng)絡(luò)或Internet�����;和
2)A cybersecurity incident affecting thedevice could directly result in patient harm to multiple patients. 影響設(shè)備的網(wǎng)絡(luò)安全事件能直接導(dǎo)致對多名患者的傷害植入式心律轉(zhuǎn)復(fù)除顫器(ICDs)��、起搏器��、左心室輔助設(shè)備(LVADs)�����、大腦刺激器和神經(jīng)刺激器��、透析設(shè)備、 輸液和胰島素泵��,以及與這些設(shè)備交互的支持連接系統(tǒng)���,如家庭監(jiān)測器,以及具有命令和控制功能的系統(tǒng)
• Tier 2 “Standard Cybersecurity Risk”
• A medical device for which the criteria fora Tier 1 device are not met.其它的設(shè)備都是2類��。
《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》:FDA Post-Market Guidance
• Applies to any marketed and distributedmedical device including 適用于任何市場銷售和分布式醫(yī)療設(shè)備,包括:
– Medical devices that containsoftware, firmware, or programmable logic
包含軟 件��、固件或可編程邏輯的醫(yī)療設(shè)備
– Software that is a medicaldevice, including mobile medical applications醫(yī)療設(shè)備軟件�����,包括移動醫(yī)療應(yīng)用程序
– Medical devices that areconsidered part of an interoperable system 被認(rèn)為是可互操作系統(tǒng)的一部分的醫(yī)療設(shè)備
– Legacy devices - devicesalready on the market or in use. 遺留設(shè)備 - 已經(jīng)上市或正在使用的設(shè)備��。
• Emphasizes that manufacturers shouldmonitor, identify, and address cybersecurity vulnerabilities and exploits aspart of their postmarket management of medical devices 強(qiáng)調(diào)制造商應(yīng)監(jiān)控��、識別和解決網(wǎng)絡(luò)安全漏洞和漏洞,作為醫(yī)療設(shè)備上市后管理的一部分
• Establishes a risk-based framework forassessing when changes to medical devices for cybersecurity vulnerabilitiesrequire reporting to the Agency 建立一個基于風(fēng)險(xiǎn)的框架���,用于評估醫(yī)療設(shè)備的網(wǎng)絡(luò)安全漏洞何時(shí)需要向機(jī)構(gòu)報(bào)告
• Outlines circumstances in which FDA doesnot intend to enforce reporting requirements under 21 CFR part 806. 以概述FDA不打算在21 CFR第806部分下強(qiáng)制執(zhí)行報(bào)告要求的情況�����。
• In order to demonstrate a reasonableassurance of safety and effectiveness for software devices, documentationrelated to the requirements of the Quality System Regulation (QSR) (21 CFR Part820) is often a necessary part of the premarket submission. 為了證明對軟件設(shè)備的安全性和有效性的合理保證��,與質(zhì)量體系規(guī)范(QSR) (21 CFR Part 820)要求相關(guān)的文檔通常是上市前提交的必要部分
• As part of QSR design controls, amanufacturer must “establish and maintain procedures for validating the devicesdesign,” which “shall include software validation and risk analysis, whereappropriate.” 21 CFR 820.30(g).
• 制造商必須“建立和維護(hù)驗(yàn)證設(shè)備設(shè)計(jì)的程序”,其中“應(yīng)包括軟件驗(yàn)證和風(fēng)險(xiǎn)分析”
• As part of the software validation and riskanalysis required by 21 CFR 820.30(g), software device manufacturers may needto establish a cybersecurity vulnerability and management approach
• 作為21 CFR 820.30(g)要求的軟件驗(yàn)證和風(fēng)險(xiǎn)分析的一部分�����,軟件設(shè)備制造商可能需要建立網(wǎng)絡(luò)安全漏洞和管理方法
• FDA recommends that this approach include aset of cybersecurity design controls to ensure medical device cybersecurity andmaintain medical device safety and effectiveness.確保醫(yī)療設(shè)備的網(wǎng)絡(luò)安全,并保持醫(yī)療設(shè)備的安全和有效性
– 21 CFR part 820: QualitySystem Regulation
– 21 CFR part 820.198: Complaint handling
– 21 CFR part 820.22: Quality audit
– 21 CFR part 820.100: CAPA
– 21 CFR part 820.30(g): Software validation and risk analysis
– 21 CFR 820.200: Servicing
歐盟要求
指導(dǎo)原則:MDCG2019-16 醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則
醫(yī)療器械協(xié)調(diào)工作組(MDCG)前期發(fā)布了“醫(yī)療器械信息安全指南, 2019年12月”���。該指南不具有法律約束力,但公告機(jī)構(gòu)必須遵循��。這意味著您作為制造商也需要遵循�����。不幸的是���,該指南并未就如何處理該問題提出明確的框架,而是概述了也可在其他資源中找到的要求和方法��,例如:
uISO /IEC 80001-1風(fēng)險(xiǎn)管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用
uIEC /TR 80001-2-2風(fēng)險(xiǎn)管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用第2-2部分:醫(yī)療器械安保需求�����、風(fēng)險(xiǎn)和控制的披露和溝通指南��。
uAAMITIR 57醫(yī)療器械安保原則-風(fēng)險(xiǎn)管理
MDCG指南把MDR一般安全和性能要求(GSPR)關(guān)聯(lián)了起來���。介紹了深度防御��,良好網(wǎng)絡(luò)安全防范 (FDA指導(dǎo)中的基本安全防范)以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與產(chǎn)品安全風(fēng)險(xiǎn)之間的關(guān)系這樣一些概念。
還引入可用性工程與網(wǎng)絡(luò)安全之間的聯(lián)系:脆弱性被視為合理可預(yù)見的濫用的促成因素���。
MDCG指南提出了6個最佳實(shí)踐,主要使用了ISO 13485和IEC 62304中的設(shè)計(jì)和維護(hù)過程中步驟:
1 管理上的安全
-ISO13485 4.1�����,用于安全風(fēng)險(xiǎn)管理過程��;
-IEC62304 5.1:軟件開發(fā)計(jì)劃��;
-IEC62304 6.1:軟件維護(hù)
2 安全要求規(guī)范
-IEC62304 5.2:軟件需求分析
3 通過設(shè)計(jì)確保安全,包括深度防御
-IEC62304 5.3:軟件體系結(jié)構(gòu)��;
4安全實(shí)施
-IEC62304 5.4:軟件詳細(xì)設(shè)計(jì)���;
-IEC62304 5.5:軟件實(shí)施和單元驗(yàn)證���;
-以及SOUP管理的正確性
5安全驗(yàn)證和確認(rèn)
-IEC62304 5.6:軟件集成測試��;
-IEC62304 5.7:軟件系統(tǒng)驗(yàn)證���;
6安全相關(guān)問題的管理
-IEC62304 6.2:問題和修改分析��;
-IEC62304 9:問題解決
7安全更新管理
-IEC 623046.3:修改實(shí)施��;
-IEC62304 8.2:變更控制���;
8 安全準(zhǔn)則
-5.8軟件發(fā)布;
-以及軟件文檔���,請參閱IEC 82304-1第7節(jié)��。
指南也提到驗(yàn)證與確認(rèn)
安全驗(yàn)證和確認(rèn)測試的主要手段還是測試,方法可以包括安全功能測試�����、模糊測試��,漏洞掃描和滲透測試�����。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產(chǎn)品,確定組件與已知問題。
指南也描述了關(guān)于說明書���,PMS和警戒等內(nèi)容��。
彩蛋:如果大家有時(shí)間,建議仔細(xì)研究2020.4.20���,IMDRF就醫(yī)療器械網(wǎng)絡(luò)安全發(fā)布的官方指南——《醫(yī)療器械網(wǎng)絡(luò)安全原則與實(shí)踐》(Principles and Practicesfor Medical DeviceCybersecurity),這個在全球監(jiān)管協(xié)調(diào)方面具有重要且特別的意義�����。
中國NMPA要求
目前我們主要還是參考《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》��,這個原則適用于醫(yī)療器械網(wǎng)絡(luò)安全��,包括具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類、第三類醫(yī)療器械產(chǎn)品�����,其中網(wǎng)絡(luò)包括無線、有線網(wǎng)絡(luò)��,電子數(shù)據(jù)交換包括單向��、雙向數(shù)據(jù)傳輸��,遠(yuǎn)程控制包括實(shí)時(shí)�����、非實(shí)時(shí)控制。也適用于采用存儲媒介以進(jìn)行電子數(shù)據(jù)交換的第二類�����、第三類醫(yī)療器械產(chǎn)品�����,其中存儲媒介包括但不限于光盤�����、移動硬盤和U盤�����。
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性(confidentiality)、完整性(integrity)和可得性(availability).
京公網(wǎng)安備11010802046783號