美國(guó)食品藥品監(jiān)督管理局(FDA)于2022年4月公布了《醫(yī)療器械網(wǎng)絡(luò):質(zhì)量體系考量與上市前申報(bào)指南》草案再次公開(kāi)征求意見(jiàn)�,擬取代2014年10月發(fā)布的《醫(yī)療器械網(wǎng)絡(luò)安全上市前申報(bào)指南》����。
一、背景
鑒于醫(yī)療器械網(wǎng)絡(luò)安全問(wèn)題日益突出����,美國(guó)逐漸加強(qiáng)醫(yī)療器械網(wǎng)絡(luò)安全的監(jiān)管要求�。2005年1月發(fā)布《聯(lián)網(wǎng)醫(yī)療器械所含現(xiàn)成軟件網(wǎng)絡(luò)安全申報(bào)指南》��,2014年10月發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全上市前申報(bào)指南》����,2016年12月發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全上市后管理指南》��。
2018年10月公布了第二版《醫(yī)療器械網(wǎng)絡(luò)安全上市前申報(bào)指南》草案公開(kāi)征求意見(jiàn)��。2022年草案實(shí)為2018年草案的修訂版��,同時(shí)參考借鑒了IMDRF網(wǎng)絡(luò)安全工作組的N60文件成果����。
二、主要內(nèi)容
2022年草案明確了醫(yī)療器械網(wǎng)絡(luò)安全監(jiān)管的四條原則��。首先��,網(wǎng)絡(luò)安全是產(chǎn)品安全性和質(zhì)量體系的組成部分��,即網(wǎng)絡(luò)安全作為產(chǎn)品安全性的重要組成部分��,需要從質(zhì)量體系角度予以控制�;其次�,網(wǎng)絡(luò)安全源于設(shè)計(jì)����,即產(chǎn)品網(wǎng)絡(luò)安全水平取決于其網(wǎng)絡(luò)安全設(shè)計(jì);再次�,網(wǎng)絡(luò)安全需透明化,即產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及控制需及時(shí)告知用戶����,包括說(shuō)明書(shū)網(wǎng)絡(luò)安全信息和漏洞管理計(jì)劃;最后����,網(wǎng)絡(luò)安全上市前申報(bào)資料詳盡程度取決于其風(fēng)險(xiǎn)水平,即產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險(xiǎn)水平越高����,網(wǎng)絡(luò)安全上市前申報(bào)資料越詳盡。
同時(shí)�,2022年草案要求采用網(wǎng)絡(luò)安全產(chǎn)品開(kāi)發(fā)框架(SPDF)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。SPDF主要包括三個(gè)方面:一是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理�,包括網(wǎng)絡(luò)安全威脅建模、第三方軟件��、剩余缺陷網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理文檔����、全生命周期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理等要求;二是網(wǎng)絡(luò)安全架構(gòu)����,需要從多視角考慮網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)控制要求,包括系統(tǒng)全局視角��、群體患者傷害視角����、升級(jí)與補(bǔ)丁視角��、網(wǎng)絡(luò)安全用例視角等方面����;三是網(wǎng)絡(luò)安全測(cè)試,包括網(wǎng)絡(luò)安全需求分析�、網(wǎng)絡(luò)安全威脅緩解、漏洞測(cè)試����、滲透測(cè)試等方面。
此外,2022年草案在附錄中提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的具體建議��,如身份認(rèn)證�、授權(quán)、加密����、完整性、保密性�、網(wǎng)絡(luò)安全事件探測(cè)與記錄、恢復(fù)性�、軟件升級(jí)等。
三����、與前版主要變化
2022年草案與2014年指南和2018年草案相比,更加強(qiáng)調(diào)在質(zhì)量體系下加強(qiáng)網(wǎng)絡(luò)安全設(shè)計(jì)以保證醫(yī)療器械網(wǎng)絡(luò)安全����,同時(shí)上市前申報(bào)資料由統(tǒng)一要求或二級(jí)要求改為依網(wǎng)絡(luò)安全風(fēng)險(xiǎn)水平而定。
總之�,美國(guó)2022年草案與我國(guó)第二版醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則相比,在網(wǎng)絡(luò)安全生存周期過(guò)程質(zhì)控��、注冊(cè)申報(bào)資料依網(wǎng)絡(luò)安全風(fēng)險(xiǎn)水平而定��、網(wǎng)絡(luò)安全能力建設(shè)、IMDRF文件落實(shí)等方面基本相同����。
參考文獻(xiàn):
[1] FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005.1
[2] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, 2014.10
[3] FDA, Postmarket Management of Cybersecurity in Medical Devices, 2016.12
[4] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices(Draft), 2018.10
[5] FDA, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions(Draft), 2022.4
京公網(wǎng)安備11010802046783號(hào)