本期，請同小編一起了解各個監管機構對于網絡安全的要求。 

 

FDA的要求：

 

美國食品與藥物管理局在官網上詳細列舉了其近年來改進醫療設備網絡安全的相關措施，原因是FDA發現各類醫療設備既存在一定收益，也都帶來多種風險。對于美國食品與藥物管理局（簡稱FDA）而言，當能夠以合理方式確保受眾收益超過風險時，其即允許廠商將相關設備投放市場。如今，醫療設備正越來越多地與互聯網、醫院網絡以及其它醫療設備對接，旨在改善醫療保健效能并增強醫療服務機構為患者提供的診療能力。但在交付這些能力的同時，此類設備也將增強網絡安全威脅水平；與其它計算機系統一樣，醫療設備可能受到安全漏洞的影響，進而導致設備安全性與有效性遭到破壞。

 

FDA準備和實施了很多舉措，具體包括：

 

2017年5月18日至19日，FDA與國家科學基金會（簡稱NSF）以及國土安全部科學技術部（簡稱DHS，S&T）合作舉辦公共研討會，題為《醫療器械網絡安全：監管科學差距分析》。此次研討會的目標在于研究FDA目前正在參與的新興研究機遇; 促進利益相關方合作以確保監管科學挑戰; 討論應對這些挑戰的對應創新戰略; 同時鼓勵各利益相關方社區積極開發分析工具、流程與最佳實踐，從而提升醫療設備的安全水平。

 

2017年1月12日，FDA就《醫療器械上市后網絡安全管理》指南研討會，邀請各利益相關方出席以了解指導內容并提出相關疑問。此份指南的最終版本發布于2016年12月27日，其中向各制造商通報了FDA方面就醫療設備上市后，立足產品整體生命周期之內的市場營銷與分銷流程，提出的網絡安全漏洞結構化及全面管理方法層面的相關建議。

 

2018年10月18日，FDA發布《醫療器械上市前網絡安全管理》規定。此份指南性草案向行業提供關于網絡安全設備設計、標注以及FDA為可能存在網絡安全風險的設備在上市前申報文件中需要體現的建議性內容。

 

2018年10月，FDA為MITRE的《醫療設備網絡安全區域性事件準備與響應手冊》提供指導性支持。此份手冊描述了準備事務的具體類型，旨在幫助各醫療保健服務組織（簡稱HDO）更好地為涉及醫療設備的網絡安全事件做好準備，并為產品開發人員提供足以解決大規模、影響廣泛的安全事件的必要方法，最終避免事件對患者人身安全造成影響。

 

    除此之外，FDA還與多家利益相關方簽訂了兩份新的諒解備忘錄，計劃建立起MedISAO與Sensato-ISAO兩大信息共享分析組織（簡稱ISAO）。這些共享分析組織的目標，在于為制造商提供與FDA共享關于潛在安全漏洞與新興威脅信息的機會，并通過盡早解決這些問題以幫助制造商更好地保護患者安全。

 

《醫療器械上市前網絡安全管理》General Principles一般原則

 

Address cybersecurity during design &development 在設計和開發過程中解決網絡安全問題

 

Identification of assets, threats, and vulnerabilities 識別資產、威脅和漏洞

 

Consider type & likelihoodvulnerabilities may result in patient harm 考慮漏洞的類型和可能性，以及可能導致病人的傷害

 

 Assess the likelihood of exploit 評估傷害產生的可能性

 

Assess residual risk, risk acceptance 評估剩余風險，風險接受

 

Consider device intended use and useenvironment考慮設備的預期用途和使用環境

 

       CybersecurityFunctions網絡安全功能:

 

Security controls appropriate for datainterfaces  適合于數據接口的安全控制

 

Balance security safeguards and usability 平衡安全保障和可用性

 

Security controls appropriate for intended 適合于目標用戶的安全控制

 

Security controls should not hinderintended use during emergency situations 安全控制不應妨礙在緊急情況下的預期使用

 

Detail security controls chosen for device 詳細的安全控制選擇設備

 

Justification for security controls chosenor not chosen   選擇或不選擇安全控制的理由

 

                             FDA把網絡安全風險歸為兩個類別：

 

Medical devices capable of connecting(wirelessly or hard-wired) to another device, to the Internet or other network,or to portable media (e.g. USB or CD) are more vulnerable to cybersecuritythreats than devices that are not connected.

 

•    Tier 1 “Higher Cybersecurity Risk”

 

  A device is a Tier 1 device if thefollowing criteria are met:

 

  1)The device is capable of connecting(e.g., wired, wirelessly) to another medical or non-medical product, or to anetwork, or to the Internet; AND

 

  1類是指該設備能夠連接(如有線、無線)到另一醫療或非醫療產品、網絡或Internet；和

 

2)A cybersecurity incident affecting thedevice could directly result in patient harm to multiple patients.  影響設備的網絡安全事件能直接導致對多名患者的傷害植入式心律轉復除顫器(ICDs)、起搏器、左心室輔助設備(LVADs)、大腦刺激器和神經刺激器、透析設備、  輸液和胰島素泵，以及與這些設備交互的支持連接系統，如家庭監測器，以及具有命令和控制功能的系統

 

•      Tier 2 “Standard Cybersecurity Risk”

 

•   A medical device for which the criteria fora Tier 1 device are not met.其它的設備都是2類。

 

《醫療器械上市后網絡安全管理》:FDA Post-Market Guidance

 

•       Applies to any marketed and distributedmedical device including 適用于任何市場銷售和分布式醫療設備，包括:

 

           – Medical devices that containsoftware, firmware, or programmable logic

 

           包含軟 件、固件或可編程邏輯的醫療設備  

 

– Software that is a medicaldevice, including mobile medical applications醫療設備軟件，包括移動醫療應用程序

 

–  Medical devices that areconsidered part of an interoperable system 被認為是可互操作系統的一部分的醫療設備

 

–  Legacy devices - devicesalready on the market or in use.  遺留設備 - 已經上市或正在使用的設備。

 

•   Emphasizes that manufacturers shouldmonitor, identify, and address cybersecurity vulnerabilities and exploits aspart of their postmarket management of medical devices 強調制造商應監控、識別和解決網絡安全漏洞和漏洞，作為醫療設備上市后管理的一部分

 

•      Establishes a risk-based framework forassessing when changes to medical devices for cybersecurity vulnerabilitiesrequire reporting to the Agency    建立一個基于風險的框架，用于評估醫療設備的網絡安全漏洞何時需要向機構報告

 

•   Outlines circumstances in which FDA doesnot intend to enforce reporting requirements under 21 CFR part 806.     以概述FDA不打算在21 CFR第806部分下強制執行報告要求的情況。

 

•   In order to demonstrate a reasonableassurance of safety and effectiveness for software devices, documentationrelated to the requirements of the Quality System Regulation (QSR) (21 CFR Part820) is often a necessary part of the premarket submission.  為了證明對軟件設備的安全性和有效性的合理保證，與質量體系規范(QSR) (21 CFR Part 820)要求相關的文檔通常是上市前提交的必要部分

 

•   As part of QSR design controls, amanufacturer must “establish and maintain procedures for validating the devicesdesign,” which “shall include software validation and risk analysis, whereappropriate.” 21 CFR 820.30(g).

 

•    制造商必須“建立和維護驗證設備設計的程序”，其中“應包括軟件驗證和風險分析”

 

•  As part of the software validation and riskanalysis required by 21 CFR 820.30(g), software device manufacturers may needto establish a cybersecurity vulnerability and management approach

 

•   作為21 CFR 820.30(g)要求的軟件驗證和風險分析的一部分，軟件設備制造商可能需要建立網絡安全漏洞和管理方法

 

•  FDA recommends that this approach include aset of cybersecurity design controls to ensure medical device cybersecurity andmaintain medical device safety and effectiveness.確保醫療設備的網絡安全，并保持醫療設備的安全和有效性

 

–       21 CFR part 820: QualitySystem Regulation

 

–       21 CFR part 820.198:  Complaint handling

 

–       21 CFR part 820.22:  Quality audit

 

–       21 CFR part 820.100:  CAPA

 

–       21 CFR part 820.30(g):  Software validation and risk analysis

 

–       21 CFR 820.200: Servicing

 

歐盟要求

 

     指導原則：MDCG2019-16 醫療器械網絡安全指導原則

 

醫療器械協調工作組（MDCG）前期發布了“醫療器械信息安全指南, 2019年12月”。該指南不具有法律約束力，但公告機構必須遵循。這意味著您作為制造商也需要遵循。不幸的是，該指南并未就如何處理該問題提出明確的框架，而是概述了也可在其他資源中找到的要求和方法，例如：

 

uISO /IEC 80001-1風險管理在包含醫療器械的IT網絡中的應用

 

uIEC /TR 80001-2-2風險管理在包含醫療器械的IT網絡中的應用第2-2部分：醫療器械安保需求、風險和控制的披露和溝通指南。

 

uAAMITIR 57醫療器械安保原則-風險管理

 

 

 

MDCG指南把MDR一般安全和性能要求（GSPR）關聯了起來。介紹了深度防御，良好網絡安全防范 （FDA指導中的基本安全防范）以及網絡安全風險與產品安全風險之間的關系這樣一些概念。

 

還引入可用性工程與網絡安全之間的聯系：脆弱性被視為合理可預見的濫用的促成因素。

 

MDCG指南提出了6個最佳實踐，主要使用了ISO 13485和IEC 62304中的設計和維護過程中步驟：

 

1 管理上的安全

 

-ISO13485 4.1，用于安全風險管理過程；

 

-IEC62304 5.1：軟件開發計劃；

 

-IEC62304 6.1：軟件維護

 

2 安全要求規范

 

-IEC62304 5.2：軟件需求分析 

 

3 通過設計確保安全，包括深度防御

 

-IEC62304 5.3：軟件體系結構；

 

4安全實施

 

-IEC62304 5.4：軟件詳細設計；

 

-IEC62304 5.5：軟件實施和單元驗證；

 

-以及SOUP管理的正確性

 

5安全驗證和確認

 

-IEC62304 5.6：軟件集成測試；

 

-IEC62304 5.7：軟件系統驗證； 

 

6安全相關問題的管理

 

-IEC62304 6.2：問題和修改分析；

 

-IEC62304 9：問題解決

 

7安全更新管理

 

-IEC 623046.3：修改實施；

 

-IEC62304 8.2：變更控制；

 

8 安全準則

 

-5.8軟件發布；

 

-以及軟件文檔，請參閱IEC 82304-1第7節。

 

 

指南也提到驗證與確認 

 

安全驗證和確認測試的主要手段還是測試，方法可以包括安全功能測試、模糊測試，漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產品,確定組件與已知問題。 

 

指南也描述了關于說明書，PMS和警戒等內容。

 

彩蛋：如果大家有時間，建議仔細研究2020.4.20，IMDRF就醫療器械網絡安全發布的官方指南——《醫療器械網絡安全原則與實踐》（Principles and Practicesfor Medical DeviceCybersecurity），這個在全球監管協調方面具有重要且特別的意義。

 

中國NMPA要求

 

目前我們主要還是參考《醫療器械網絡安全注冊技術審查指導原則》，這個原則適用于醫療器械網絡安全，包括具有網絡連接功能以進行電子數據交換或遠程控制的第二類、第三類醫療器械產品，其中網絡包括無線、有線網絡，電子數據交換包括單向、雙向數據傳輸，遠程控制包括實時、非實時控制。也適用于采用存儲媒介以進行電子數據交換的第二類、第三類醫療器械產品，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。

 

醫療器械網絡安全是指保持醫療器械相關數據的保密性（confidentiality）、完整性（integrity）和可得性（availability）.