分擔(dān)責(zé)任是醫(yī)療器械 IT 安全I(xiàn)T security的一個(gè)關(guān)鍵概念�。信息共享是實(shí)現(xiàn)責(zé)任共擔(dān)的首選手段。ISO 13485:2016 第7.2.3章規(guī)定了與客戶和當(dāng)局溝通的義務(wù)���。作為質(zhì)量管理體系的一部分,必須以“計(jì)劃”和記錄的方式進(jìn)行����。至少應(yīng)考慮以下安全溝通途徑:
制造商需要有關(guān)產(chǎn)品目標(biāo)環(huán)境的信息�。
那里有哪些安全控制措施?
操作人員對(duì)產(chǎn)品有哪些要求���?
應(yīng)達(dá)到何種安全級(jí)別(IEC 60601-4-5)�?
制造商應(yīng)告知可能對(duì)安全產(chǎn)生影響的服務(wù)或產(chǎn)品供應(yīng)商必要的義務(wù)�,如遵守IEC 81001-5-1(質(zhì)量保證協(xié)議)�。
操作人員要求提供有關(guān)產(chǎn)品及其安全使用的廣泛信息。制造商應(yīng)向操作人員提供使用說(shuō)明或任何其他類型的手冊(cè)�。此外����,產(chǎn)品的MDS2表和SBOM也應(yīng)移交給操作人員(醫(yī)療服務(wù)提供者)。
制造商必須及時(shí)向運(yùn)營(yíng)商通報(bào)產(chǎn)品漏洞(漏洞披露)���。例如,可以通過(guò)自己的網(wǎng)頁(yè)���、ISAO(信息共享和分析組織)或直接聯(lián)系的方式進(jìn)行。
制造商必須告知操作人員可用的補(bǔ)丁���、修復(fù)和更新����,并且必須安全地提供補(bǔ)丁和更新(如文件完整性檢查)����。
運(yùn)營(yíng)商必須有可靠的方式向制造商通報(bào)安全問(wèn)題(如網(wǎng)絡(luò)表格或?qū)S秒娮余]件地址)
制造商必須向國(guó)家當(dāng)局報(bào)告與安全有關(guān)的嚴(yán)重事故(醫(yī)療器械報(bào)告)�。在歐洲,可能還需要同時(shí)通知公告機(jī)構(gòu)�。
此外,對(duì)于數(shù)據(jù)泄露�,制造商可能有特定的報(bào)告義務(wù)(不僅要向相關(guān)機(jī)構(gòu)報(bào)告���,還要向受影響的個(gè)人報(bào)告)�。
如果第三方組件出現(xiàn)安全問(wèn)題�,制造商必須通知相關(guān)供應(yīng)商。
如果發(fā)生嚴(yán)重的安全事故���,制造商還應(yīng)向律師����、媒體和內(nèi)部負(fù)責(zé)人通報(bào)�。
實(shí)用建議:為所有可能的利益相關(guān)者繪制一張大圖,用不同的線路將他們與制造商連接起來(lái)����,并考慮在整個(gè)產(chǎn)品生命周期中每個(gè)連接點(diǎn)可能流動(dòng)的信息。
京公網(wǎng)安備11010802046783號(hào)