各個監(jiān)管機構(gòu)對于網(wǎng)絡(luò)安全的要求��。
FDA的要求:
美國食品與藥物管理局在官網(wǎng)上詳細列舉了其近年來改進醫(yī)療設(shè)備網(wǎng)絡(luò)安全的相關(guān)措施����,原因是FDA發(fā)現(xiàn)各類醫(yī)療設(shè)備既存在一定收益,也都帶來多種風(fēng)險��。對于美國食品與藥物管理局(簡稱FDA)而言����,當(dāng)能夠以合理方式確保受眾收益超過風(fēng)險時,其即允許廠商將相關(guān)設(shè)備投放市場����。如今,醫(yī)療設(shè)備正越來越多地與互聯(lián)網(wǎng)�����、醫(yī)院網(wǎng)絡(luò)以及其它醫(yī)療設(shè)備對接,旨在改善醫(yī)療保健效能并增強醫(yī)療服務(wù)機構(gòu)為患者提供的診療能力�����。但在交付這些能力的同時��,此類設(shè)備也將增強網(wǎng)絡(luò)安全威脅水平�����;與其它計算機系統(tǒng)一樣�����,醫(yī)療設(shè)備可能受到安全漏洞的影響����,進而導(dǎo)致設(shè)備安全性與有效性遭到破壞����。
FDA準(zhǔn)備和實施了很多舉措,具體包括:
2017年5月18日至19日�����,F(xiàn)DA與國家科學(xué)基金會(簡稱NSF)以及國土安全部科學(xué)技術(shù)部(簡稱DHS����,S&T)合作舉辦公共研討會,題為《醫(yī)療器械網(wǎng)絡(luò)安全:監(jiān)管科學(xué)差距分析》����。此次研討會的目標(biāo)在于研究FDA目前正在參與的新興研究機遇; 促進利益相關(guān)方合作以確保監(jiān)管科學(xué)挑戰(zhàn); 討論應(yīng)對這些挑戰(zhàn)的對應(yīng)創(chuàng)新戰(zhàn)略; 同時鼓勵各利益相關(guān)方社區(qū)積極開發(fā)分析工具、流程與最佳實踐�����,從而提升醫(yī)療設(shè)備的安全水平����。
2017年1月12日,F(xiàn)DA就《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》指南研討會����,邀請各利益相關(guān)方出席以了解指導(dǎo)內(nèi)容并提出相關(guān)疑問。此份指南的最終版本發(fā)布于2016年12月27日����,其中向各制造商通報了FDA方面就醫(yī)療設(shè)備上市后,立足產(chǎn)品整體生命周期之內(nèi)的市場營銷與分銷流程��,提出的網(wǎng)絡(luò)安全漏洞結(jié)構(gòu)化及全面管理方法層面的相關(guān)建議��。
2018年10月18日����,F(xiàn)DA發(fā)布《醫(yī)療器械上市前網(wǎng)絡(luò)安全管理》規(guī)定。此份指南性草案向行業(yè)提供關(guān)于網(wǎng)絡(luò)安全設(shè)備設(shè)計����、標(biāo)注以及FDA為可能存在網(wǎng)絡(luò)安全風(fēng)險的設(shè)備在上市前申報文件中需要體現(xiàn)的建議性內(nèi)容����。
2018年10月����,F(xiàn)DA為MITRE的《醫(yī)療設(shè)備網(wǎng)絡(luò)安全區(qū)域性事件準(zhǔn)備與響應(yīng)手冊》提供指導(dǎo)性支持。此份手冊描述了準(zhǔn)備事務(wù)的具體類型��,旨在幫助各醫(yī)療保健服務(wù)組織(簡稱HDO)更好地為涉及醫(yī)療設(shè)備的網(wǎng)絡(luò)安全事件做好準(zhǔn)備����,并為產(chǎn)品開發(fā)人員提供足以解決大規(guī)模、影響廣泛的安全事件的必要方法�����,最終避免事件對患者人身安全造成影響�����。
除此之外�����,F(xiàn)DA還與多家利益相關(guān)方簽訂了兩份新的諒解備忘錄,計劃建立起MedISAO與Sensato-ISAO兩大信息共享分析組織(簡稱ISAO)����。這些共享分析組織的目標(biāo),在于為制造商提供與FDA共享關(guān)于潛在安全漏洞與新興威脅信息的機會�����,并通過盡早解決這些問題以幫助制造商更好地保護患者安全��。
《醫(yī)療器械上市前網(wǎng)絡(luò)安全管理》General Principles一般原則
Address cybersecurity during design &development 在設(shè)計和開發(fā)過程中解決網(wǎng)絡(luò)安全問題
Identification of assets, threats, and vulnerabilities 識別資產(chǎn)����、威脅和漏洞
Consider type & likelihoodvulnerabilities may result in patient harm 考慮漏洞的類型和可能性����,以及可能導(dǎo)致病人的傷害
Assess the likelihood of exploit 評估傷害產(chǎn)生的可能性
Assess residual risk, risk acceptance 評估剩余風(fēng)險,風(fēng)險接受
Consider device intended use and useenvironment考慮設(shè)備的預(yù)期用途和使用環(huán)境
CybersecurityFunctions網(wǎng)絡(luò)安全功能:
Security controls appropriate for datainterfaces 適合于數(shù)據(jù)接口的安全控制
Balance security safeguards and usability 平衡安全保障和可用性
Security controls appropriate for intended 適合于目標(biāo)用戶的安全控制
Security controls should not hinderintended use during emergency situations 安全控制不應(yīng)妨礙在緊急情況下的預(yù)期使用
Detail security controls chosen for device 詳細的安全控制選擇設(shè)備
Justification for security controls chosenor not chosen 選擇或不選擇安全控制的理由
FDA把網(wǎng)絡(luò)安全風(fēng)險歸為兩個類別:
Medical devices capable of connecting(wirelessly or hard-wired) to another device, to the Internet or other network,or to portable media (e.g. USB or CD) are more vulnerable to cybersecuritythreats than devices that are not connected.
• Tier 1 “Higher Cybersecurity Risk”
A device is a Tier 1 device if thefollowing criteria are met:
1)The device is capable of connecting(e.g., wired, wirelessly) to another medical or non-medical product, or to anetwork, or to the Internet; AND
1類是指該設(shè)備能夠連接(如有線��、無線)到另一醫(yī)療或非醫(yī)療產(chǎn)品�����、網(wǎng)絡(luò)或Internet��;和
2)A cybersecurity incident affecting thedevice could directly result in patient harm to multiple patients. 影響設(shè)備的網(wǎng)絡(luò)安全事件能直接導(dǎo)致對多名患者的傷害植入式心律轉(zhuǎn)復(fù)除顫器(ICDs)、起搏器��、左心室輔助設(shè)備(LVADs)�����、大腦刺激器和神經(jīng)刺激器�����、透析設(shè)備�����、 輸液和胰島素泵�����,以及與這些設(shè)備交互的支持連接系統(tǒng)��,如家庭監(jiān)測器��,以及具有命令和控制功能的系統(tǒng)
• Tier 2 “Standard Cybersecurity Risk”
• A medical device for which the criteria fora Tier 1 device are not met.其它的設(shè)備都是2類�����。
《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》:FDA Post-Market Guidance
• Applies to any marketed and distributedmedical device including 適用于任何市場銷售和分布式醫(yī)療設(shè)備,包括:
– Medical devices that containsoftware, firmware, or programmable logic
包含軟 件��、固件或可編程邏輯的醫(yī)療設(shè)備
– Software that is a medicaldevice, including mobile medical applications醫(yī)療設(shè)備軟件��,包括移動醫(yī)療應(yīng)用程序
– Medical devices that areconsidered part of an interoperable system 被認為是可互操作系統(tǒng)的一部分的醫(yī)療設(shè)備
– Legacy devices - devicesalready on the market or in use. 遺留設(shè)備 - 已經(jīng)上市或正在使用的設(shè)備��。
• Emphasizes that manufacturers shouldmonitor, identify, and address cybersecurity vulnerabilities and exploits aspart of their postmarket management of medical devices 強調(diào)制造商應(yīng)監(jiān)控����、識別和解決網(wǎng)絡(luò)安全漏洞和漏洞����,作為醫(yī)療設(shè)備上市后管理的一部分
• Establishes a risk-based framework forassessing when changes to medical devices for cybersecurity vulnerabilitiesrequire reporting to the Agency 建立一個基于風(fēng)險的框架,用于評估醫(yī)療設(shè)備的網(wǎng)絡(luò)安全漏洞何時需要向機構(gòu)報告
• Outlines circumstances in which FDA doesnot intend to enforce reporting requirements under 21 CFR part 806. 以概述FDA不打算在21 CFR第806部分下強制執(zhí)行報告要求的情況�����。
• In order to demonstrate a reasonableassurance of safety and effectiveness for software devices, documentationrelated to the requirements of the Quality System Regulation (QSR) (21 CFR Part820) is often a necessary part of the premarket submission. 為了證明對軟件設(shè)備的安全性和有效性的合理保證��,與質(zhì)量體系規(guī)范(QSR) (21 CFR Part 820)要求相關(guān)的文檔通常是上市前提交的必要部分
• As part of QSR design controls, amanufacturer must “establish and maintain procedures for validating the devicesdesign,” which “shall include software validation and risk analysis, whereappropriate.” 21 CFR 820.30(g).
• 制造商必須“建立和維護驗證設(shè)備設(shè)計的程序”����,其中“應(yīng)包括軟件驗證和風(fēng)險分析”
• As part of the software validation and riskanalysis required by 21 CFR 820.30(g), software device manufacturers may needto establish a cybersecurity vulnerability and management approach
• 作為21 CFR 820.30(g)要求的軟件驗證和風(fēng)險分析的一部分,軟件設(shè)備制造商可能需要建立網(wǎng)絡(luò)安全漏洞和管理方法
• FDA recommends that this approach include aset of cybersecurity design controls to ensure medical device cybersecurity andmaintain medical device safety and effectiveness.確保醫(yī)療設(shè)備的網(wǎng)絡(luò)安全�����,并保持醫(yī)療設(shè)備的安全和有效性
– 21 CFR part 820: QualitySystem Regulation
– 21 CFR part 820.198: Complaint handling
– 21 CFR part 820.22: Quality audit
– 21 CFR part 820.100: CAPA
– 21 CFR part 820.30(g): Software validation and risk analysis
– 21 CFR 820.200: Servicing
歐盟要求
指導(dǎo)原則:MDCG2019-16 醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則
醫(yī)療器械協(xié)調(diào)工作組(MDCG)前期發(fā)布了“醫(yī)療器械信息安全指南, 2019年12月”。該指南不具有法律約束力��,但公告機構(gòu)必須遵循��。這意味著您作為制造商也需要遵循�����。不幸的是�����,該指南并未就如何處理該問題提出明確的框架����,而是概述了也可在其他資源中找到的要求和方法,例如:
uISO /IEC 80001-1風(fēng)險管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用
uIEC /TR 80001-2-2風(fēng)險管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用第2-2部分:醫(yī)療器械安保需求�����、風(fēng)險和控制的披露和溝通指南�����。
uAAMITIR 57醫(yī)療器械安保原則-風(fēng)險管理
MDCG指南把MDR一般安全和性能要求(GSPR)關(guān)聯(lián)了起來。介紹了深度防御�����,良好網(wǎng)絡(luò)安全防范 (FDA指導(dǎo)中的基本安全防范)以及網(wǎng)絡(luò)安全風(fēng)險與產(chǎn)品安全風(fēng)險之間的關(guān)系這樣一些概念����。
還引入可用性工程與網(wǎng)絡(luò)安全之間的聯(lián)系:脆弱性被視為合理可預(yù)見的濫用的促成因素。
MDCG指南提出了6個最佳實踐�����,主要使用了ISO 13485和IEC 62304中的設(shè)計和維護過程中步驟:
1 管理上的安全
-ISO13485 4.1�����,用于安全風(fēng)險管理過程��;
-IEC62304 5.1:軟件開發(fā)計劃����;
-IEC62304 6.1:軟件維護
2 安全要求規(guī)范
-IEC62304 5.2:軟件需求分析
3 通過設(shè)計確保安全,包括深度防御
-IEC62304 5.3:軟件體系結(jié)構(gòu)����;
4安全實施
-IEC62304 5.4:軟件詳細設(shè)計;
-IEC62304 5.5:軟件實施和單元驗證����;
-以及SOUP管理的正確性
5安全驗證和確認
-IEC62304 5.6:軟件集成測試;
-IEC62304 5.7:軟件系統(tǒng)驗證��;
6安全相關(guān)問題的管理
-IEC62304 6.2:問題和修改分析��;
-IEC62304 9:問題解決
7安全更新管理
-IEC 623046.3:修改實施�����;
-IEC62304 8.2:變更控制����;
8 安全準(zhǔn)則
-5.8軟件發(fā)布;
-以及軟件文檔��,請參閱IEC 82304-1第7節(jié)�����。
指南也提到驗證與確認
安全驗證和確認測試的主要手段還是測試����,方法可以包括安全功能測試、模糊測試����,漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產(chǎn)品,確定組件與已知問題��。
指南也描述了關(guān)于說明書��,PMS和警戒等內(nèi)容�����。
彩蛋:如果大家有時間����,建議仔細研究2020.4.20����,IMDRF就醫(yī)療器械網(wǎng)絡(luò)安全發(fā)布的官方指南——《醫(yī)療器械網(wǎng)絡(luò)安全原則與實踐》(Principles and Practicesfor Medical DeviceCybersecurity),這個在全球監(jiān)管協(xié)調(diào)方面具有重要且特別的意義����。
中國NMPA要求
目前我們主要還是參考《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》��,這個原則適用于醫(yī)療器械網(wǎng)絡(luò)安全�����,包括具有網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠程控制的第二類�����、第三類醫(yī)療器械產(chǎn)品��,其中網(wǎng)絡(luò)包括無線��、有線網(wǎng)絡(luò)��,電子數(shù)據(jù)交換包括單向��、雙向數(shù)據(jù)傳輸�����,遠程控制包括實時����、非實時控制。也適用于采用存儲媒介以進行電子數(shù)據(jù)交換的第二類����、第三類醫(yī)療器械產(chǎn)品,其中存儲媒介包括但不限于光盤��、移動硬盤和U盤�����。
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性(confidentiality)��、完整性(integrity)和可得性(availability).
通過之前的介紹����,相信大家對于醫(yī)療器械網(wǎng)絡(luò)安全的基本概念和各監(jiān)管機構(gòu)的要求已經(jīng)有了初步的認知。接下來�����,請同小編一起實踐探討準(zhǔn)備網(wǎng)絡(luò)安全文檔�����。
(一)基本考量
網(wǎng)絡(luò)安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
1.重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新����;
2.輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,如常規(guī)安全補丁��。
(二)網(wǎng)絡(luò)安全描述文檔
1.基本信息
描述醫(yī)療器械產(chǎn)品的相關(guān)信息:
(1)類型:健康數(shù)據(jù)����、設(shè)備數(shù)據(jù);
(2)功能:電子數(shù)據(jù)交換(單向�����、雙向)����、遠程控制(實時、非實時)�����;
(3)用途:如臨床應(yīng)用����、設(shè)備維護等;
(4)交換方式:網(wǎng)絡(luò)(無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò))及要求(如傳輸協(xié)議(標(biāo)準(zhǔn)����、自定
義)、接口�����、帶寬等)����,存儲媒介(如光盤、移動硬盤�����、U盤等)及要求(如存儲格式(標(biāo)準(zhǔn)����、自定義)、容量等)�����;對于專用無線設(shè)備(非通用信息技術(shù)設(shè)備)��,還應(yīng)提交符合無線電管理規(guī)定的證明材料;
(5)安全軟件:描述安全軟件(如殺毒軟件�����、防火墻等)的名稱��、型號規(guī)格����、完整版本��、供應(yīng)商�����、運行環(huán)境要求����;
(6)現(xiàn)成軟件:描述現(xiàn)成軟件(包括應(yīng)用軟件、系統(tǒng)軟件�����、支持軟件)的名稱����、型號規(guī)格����、完整版本和供應(yīng)商����。
2.風(fēng)險管理
提供醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理的分析報告和總結(jié)報告,確保全部剩余風(fēng)險均是可接受的�����。
3.驗證與確認
提供網(wǎng)絡(luò)安全測試計劃和報告����,證明醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求(如保密性、完整性�����、可得性等特性)均已得到滿足�����。同時還應(yīng)提供網(wǎng)絡(luò)安全可追溯性分析報告�����,即追溯網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范�����、測試�����、風(fēng)險管理的關(guān)系表��。
對于安全軟件����,應(yīng)提供兼容性測試報告�����。
對于標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式�����,應(yīng)提供標(biāo)準(zhǔn)符合性證明材料�����,而對于自定義傳輸協(xié)議或存儲格式,應(yīng)提供完整性測試總結(jié)報告�����。
對于實時遠程控制功能����,應(yīng)提供完整性和可得性測試報告。
4.維護計劃
描述軟件(含現(xiàn)成軟件)網(wǎng)絡(luò)安全更新的維護流程����,包括更新確認和用戶告知。
(三)常規(guī)安全補丁描述文檔
提交軟件(含現(xiàn)成軟件)常規(guī)安全補丁的情況說明(補丁描述����、影響分析、用戶告知計劃)����、測試計劃與報告、新增已知剩余缺陷情況說明(證明新增風(fēng)險均是可接受的)�����。
京公網(wǎng)安備11010802046783號