2022年5月,IMDRF發(fā)布了一則關(guān)于遺留醫(yī)療器械的網(wǎng)絡(luò)安全原則和實(shí)踐的指南文件草案“Principles and Practices for the Cybersecurity of Legacy Medical Devices”����。
該指南文件的目的是為了更詳細(xì)闡述IMDRF N60指南中所提出的遺留器械的網(wǎng)絡(luò)安全TPLC框架����,包括提供給利益相關(guān)者(如:醫(yī)療器械制造商和醫(yī)療護(hù)理提供者)詳細(xì)的建議����,提供了清楚識(shí)別潛在遺留器械的方法����,以及遺留器械網(wǎng)絡(luò)安全實(shí)施的可行方法。
指南中提出的TPLC框架的關(guān)鍵特征是:制造商和醫(yī)護(hù)人員之間的有限溝通,允許及時(shí)����、有計(jì)劃的引入和終止器械����,使遺留器械的數(shù)量最少化����。
該指南中遺留器械的定義是什么呢����?
遺留醫(yī)療器械����,即legacy medical device����,指的是不能合理防護(hù)現(xiàn)有網(wǎng)絡(luò)安全威脅的醫(yī)療器械,與其目前使用的年份無(wú)關(guān)����,即,遺留醫(yī)療器械并不只單純指更早型號(hào)的醫(yī)療器械����。如果在比較早上市的器械在網(wǎng)絡(luò)安全的措施方面做的比較好,仍能抵抗目前的網(wǎng)絡(luò)安全漏洞����,那么也不能稱之為遺留醫(yī)療器械。
該指南適用于本身是軟件的醫(yī)療器械(即����,SaMD)和軟件作為產(chǎn)品組成一部分的器械。
遺留器械目前可能存在的網(wǎng)絡(luò)安全問(wèn)題有哪些呢����?
其網(wǎng)絡(luò)安全控制措施不充分或沒(méi)有相關(guān)措施����;
安全控制措施雖然在當(dāng)時(shí)是state-of-art����,但現(xiàn)在面臨非預(yù)期的無(wú)法防護(hù)的威脅;
公司內(nèi)部缺少適當(dāng)執(zhí)行TPLC計(jì)劃的人員和資源����,導(dǎo)致這些遺留器械及其相關(guān)風(fēng)險(xiǎn)持續(xù)存在。
該指南主要包含以下四方面內(nèi)容:
在TPLC框架內(nèi)解釋了遺留器械的網(wǎng)絡(luò)安全����,清楚定義制造商和醫(yī)護(hù)人員在TPLC每個(gè)階段的責(zé)任;
提供給制造商和醫(yī)護(hù)人員關(guān)于溝通����、風(fēng)險(xiǎn)管理、將責(zé)任轉(zhuǎn)移給醫(yī)護(hù)人員這三方面的建議����;
提供有關(guān)終止支持之后的補(bǔ)充控制的建議;
提供制造商和醫(yī)護(hù)人員解決現(xiàn)有遺留器械實(shí)施TPLC框架的考慮����。
網(wǎng)絡(luò)安全TPLC框架如下:
京公網(wǎng)安備11010802046783號(hào)