在醫(yī)療器械行業(yè),供應(yīng)鏈往往沒(méi)有得到充分考慮��。以下是您應(yīng)該經(jīng)常詢問(wèn)的關(guān)鍵問(wèn)題:
-我知道我的器械中有哪些組件嗎��?
配置管理包括創(chuàng)建 SBOM。這可確保產(chǎn)品及其內(nèi)容的透明度��。SBOM 包含所有(?�。┙M件及其依賴關(guān)系。
-我是否了解第三方組件中的所有已知漏洞?
我是否定期檢查公共漏洞數(shù)據(jù)庫(kù),是否有足夠的漏洞管理程序��?
-我是否能控制組件的完整性��?
Hash values或數(shù)字簽名可以提供端到端驗(yàn)證機(jī)制。這些方法和值是否是 SBOM 描述的一部分��?
-我是否已為第三方組件的驗(yàn)證考慮了體系質(zhì)量標(biāo)準(zhǔn)��?
如果推出補(bǔ)丁或更新,由誰(shuí)來(lái)驗(yàn)證何時(shí)以及如何驗(yàn)證完整性��?最終用戶或技術(shù)人員是否能夠驗(yàn)證完整性?
我們?nèi)绾未_保每一個(gè)發(fā)布的產(chǎn)品都經(jīng)過(guò)完整性驗(yàn)證��?是否對(duì)每個(gè)成品都進(jìn)行了全面的完整性檢查��?
-我對(duì)供應(yīng)商有足夠的控制權(quán)嗎?
如果供應(yīng)商根據(jù)您的規(guī)格開(kāi)發(fā)組件��,您是否對(duì)其適用健全的安全生命周期要求��?您的質(zhì)量保證協(xié)議是否包含應(yīng)用 IEC 81001-5-1 的要求?
-對(duì)于第三方組件的網(wǎng)絡(luò)安全問(wèn)題,我是否足夠理智��?
藍(lán)牙芯片或網(wǎng)絡(luò)設(shè)備有時(shí)已經(jīng)含有嗅探器或隱藏木馬。在做出購(gòu)買(mǎi)或采購(gòu)決定時(shí)��,您是否總是足夠謹(jǐn)慎并考慮到這些方面��?您的公司內(nèi)部文化是否已經(jīng)充分適應(yīng)網(wǎng)絡(luò)安全��?
京公網(wǎng)安備11010802046783號(hào)