激情久久免费视频,日本一区二区三区四区在线观看,美女av影院,亚洲一区二区三区四区视频,国产精品久久久免费看

FDA發布<醫療器械中的網絡安全:質量體系考慮和上市前提交的內容>最終指南

嘉峪檢測網 2023-09-27 19:04

當地時間9月27日，FDA發布了<醫療器械中的網絡安全:質量體系考慮和上市前提交的內容>最終指南，該指南取代了2022年4月FDA發布的指南草案。

在今年3月20日發布的網絡安全RTA指南草案中表示，FDA會從23年10月1日后，如網絡安全不符合要求的在RTA階段就會被拒絕，在現在發布網絡安全系列指南，也表示了FDA對于網絡安全監管的決心。

本指南文件適用于具有網絡安全考慮的器械,給FDA CDRH部門和CBER部門以510(K)、De Novo、PMA、PDP、IDE、HDE、BLA、IND上市前提交類型的網絡安全器械都應考慮本指南的建議；另外FD&C法案201(h)范圍內、公共衛生服務法定義的生物制品器械、501K豁免器械也要參考本指南。

本指南旨在補充上市后網絡安全指南、包含現成(OTS)軟件的網絡醫療器械的網絡安全指南、器械軟件上市前提交的內容指南。

FDA在本指南強調了幾個關鍵概念：

1. 網絡安全是器械安全和質量體系法規的一部分

2.實現含網絡安全醫療器械的整個產品聲明周期(TPLC)考慮的一種方法是通過實施和采用安全產品開發框架(SPDF)，SPDF是一組流程，用于減少整個器械生命周期中產品中漏洞的數量和嚴重程度。

3.軟件物料清單(SBOM-Software Bill of Materials)

4.網絡安全測試

1、網絡安全是器械安全和質量體系法規的一部分

在上市前，為了證明對某些具有網絡安全風險的器械的安全性和有效性的合理保證，與QSR 820要求相關的文件輸出可能是作為上市前提交的一部分的文件來源之一。

軟件驗證和風險管理是網絡安全分析和證明器械是否具有合理的安全性和有效性保證的關鍵要素。正如FDA關于設計控制(可能包括網絡安全考慮因素)的法規中所述，FDA要求制造商實施開發流程，將設計和開發過程中的軟件風險作為設計控制的一部分加以考慮和解決。例如，這些過程應處理安全風險的識別，如何控制風險的設計要求，以及控制按照設計的功能，并在其使用環境中有效地確保足夠的安全性的證據。

安全產品開發框架(SPDF-Secure Product Development Framework)可能是滿足QSR 820的一種方式。

安全產品開發框架(SPDF-Secure Product Development Framework)可能是滿足QS法規的一種方式，FDA鼓勵制造商使用SPDF，但其他方法也可能滿足QSR 820法規。

2、使用SPDF管理網絡安全風險

醫療器械的互聯性日益增強，這表明在器械設計中解決與器械連接相關的網絡安全風險的重要性，因為它會影響安全性和有效性通過使用SPDF可以合理地控制醫療器械或更大的醫療器械系統的網絡安全風險。

以下是FDA對SPDF工藝的建議，FDA認為這些工藝為開發安全有效的器械提供了重要的考慮因素，這些工藝如何補充QSR 820，以及FDA建議制造商提供的文件作為上市前提交的一部分進行審查。

A. 安全風險管理

實施安全風險管理不同于ISO 14971所描述的實施安全風險管理。這些過程在性能上的區別是由于在安全環境和安全環境下，可能的危害范圍和風險評估因素可能是不同的。

安全風險管理流程的范圍和目標，連同其他SPDF流程(例如，安全測試)，是揭露威脅如何通過漏洞顯示病人的傷害和其他潛在風險。這些過程還應確保一種風險評估的風險控制措施不會無意中在另一種風險中引入新的風險。例如，AAMI TIR57詳細說明了安全和安全風險管理過程應如何進行接口，以確保所有風險都得到充分評估FDA建議，應建立或納入QSR 820中詳細的安全風險管理流程，并應解決制造商的設計、制造和分銷流程，以及整個TPLC的更新。QSR 820中可能與此相關的過程包括但不限于設計控制(21 CFR 820.30)，生產過程的驗證(21 CFR 820.70)，糾正和預防措施(21 CFR 820)。100)確保安全和安全風險得到充分處理。為了在21 CFR 820.30(g)下進行風險分析的完整性，FDA建議器械制造商進行安全風險評估和單獨的安全風險評估，以確保更全面地識別和管理患者安全風險。

器械應設計為消除或減輕已知的漏洞。對于已上市的器械，如果不可能進行全面的設計緩解，則應考慮補償控制。對于所有器械，當器械設計只能部分緩解或無法緩解任何已知漏洞時，應在風險評估中將其評估為合理可預見的風險，并評估是否采取額外的控制措施或將風險轉移給用戶/操作員，或必要時轉移給患者。風險轉移，如果適合，只應在所有相關風險信息已知、評估并適當傳達給用戶的情況下進行，并包括從供應鏈繼承的風險，以及當醫療器械系統的器械或制造商控制的資產達到支持終止和生命終止時如何處理風險轉移，以及用戶是否或如何能夠承擔該角色(例如，如果用戶可能是患者)。

為了記錄醫療器械系統的安全風險管理活動，FDA建議制造商生成安全風險管理計劃和報告，如AAMI TIR57.36中所述。制造商應在其上市前提交中包括其安全風險管理報告，包括其安全風險管理過程的輸出，以幫助證明器械的安全性和有效性。

除了包含上述文件要素外，安全風險管理報告還應:

a.總結風險評估方法和流程;

b.詳細說明安全風險評估中的剩余風險結論;

c.詳細說明作為制造商風險管理流程一部分的風險緩解活動

d.威脅模型：

除了包含上述文件要素外，安全風險管理報告還應:

•總結風險評估方法和流程;

•詳細說明安全風險評估中的剩余風險結論;

•詳細說明作為制造商風險管理流程一部分的風險緩解活動

•提供本指南稍后討論的威脅模型、網絡安全風險評估、SBOM和測試文檔以及其他相關網絡安全風險管理文檔之間的可追溯性。

FDA建議上市前提交包括威脅建模文檔，以演示如何分析醫療器械系統，以識別可能影響安全性和有效性的潛在安全風險。

威脅建模活動可以在設計評審期間執行和/或評審。FDA建議威脅建模文檔包括制造商執行的威脅建?；顒拥淖銐蛐畔?，以評估和審查器械中內置的安全功能，以便他們全面評估器械和器械運行的系統，以確保器械的安全性和有效性。

e.網絡安全風險評估

作為安全風險管理的一部分，安全風險和控制應作為網絡安全風險評估的一部分對剩余風險進行評估。

有效的安全風險評估指出，與網絡安全相關的故障可以有意或無意地發生。因此，網絡安全風險難以預測，即不可能根據歷史數據或建模(也稱為“概率方式”)來評估和量化事件發生的可能性。這種非概率方法并不是ISO 14971規定的安全風險管理的基本方法，它進一步強調了為什么安全和安全風險管理是不同但又相互聯系的過程。相反，安全風險評估過程側重于可利用性，或利用器械和/或系統中存在的漏洞的能力。FDA建議制造商根據器械及其操作系統所構成的風險水平評估已識別的風險。關于安全風險評估的可利用性評估的其他討論可以在FDA的上市后網絡安全指南中找到。

上市前提交的網絡安全風險評估應捕獲從威脅模型中識別出的風險和控制。還應作為上市前提交的一部分提供用于在風險減輕前后進行評分的方法和相關的接受標準，以及將安全風險轉移到安全風險評估過程中的方法。

f.互操作性的考慮

作為醫療器械系統的一部分，器械可能需要從互操作功能方面考慮網絡安全問題，包括但不限于以下接口:

•其他醫療器械及配件;

•FDA指南“多功能器械產品:政策和考慮”中確定的“其他功能”;

•與醫療基礎設施(如網絡、電子病歷、醫學成像系統)的互操作性;

•通用計算平臺

當使用通用技術和通信協議來實現互操作性時(例如，藍牙、低功耗藍牙、網絡協議)，器械制造商應評估是否需要在此類通信下添加安全控制以確保器械的安全性和有效性(例如，在藍牙低功耗協議或支持技術中發現漏洞時，在藍牙低功耗下添加安全控制以防范風險)。

除了互操作性指南中的建議外，制造商還應考慮與互操作性能力相關的適當的網絡安全風險和控制，并將這些考慮按照本指南的建議記錄下來。

g. 第三方軟件組件

作為證明符合21 CFR 820.30(g)規定的設計控制的一部分，并支持供應鏈風險管理流程，所有軟件，包括器械制造商開發的軟件(“專有軟件”)或從第三方獲得的軟件，都應進行網絡安全風險評估。器械制造商應記錄器械的所有軟件組件，并解決或以其他方式降低與這些軟件組件相關的風險。

此外，根據21 CFR 820.50，制造商必須實施過程和控制，以確保其供應商符合制造商的要求。這些信息記錄在21 CFR 820.30(j)要求的設計歷史文件和21 CFR 820.181要求的器械主記錄中。

安全風險評估包括對可能存在于或由第三方軟件和軟件供應鏈引入的網絡安全風險的分析和考慮，可能有助于證明制造商已充分確保此類合規性并記錄此類歷史。

由于許可限制、供應商協議條款或其他挑戰，制造商可能無法控制源代碼。雖然在上市前提交的文件中不要求提供源代碼，但制造商應在上市前提交的文件中包括如何更新或替換第三方軟件組件的計劃，如果支持結束或其他軟件問題出現。器械制造商還應該在器械標簽中向用戶提供他們可能需要的任何信息，以允許他們管理與軟件組件相關的風險，包括已知漏洞、配置規范和其他相關的安全和風險管理考慮因素。

h.未解決異常的安全評估

FDA的上市前軟件指南建議器械制造商在提交時提供產品中存在的軟件異常列表。對于這些異常，FDA建議器械制造商對異常對器械的安全性和有效性的影響進行評估，并參考上市前軟件指南來評估推薦包含在此類器械上市前提交中的相關文檔。

在開發或測試過程中發現的一些異?？赡苡邪踩[患，也可能被認為是漏洞。根據21 CFR part 820.30(g)，作為確保完整安全風險評估的一部分，對安全性和有效性影響的評估可能包括對異常情況的潛在安全影響的評估。評估還應考慮目前任何常見弱點枚舉(CWE)類別

例如，臨床用戶可能在正常使用過程中無意中發現了以前未知的軟件異常，其中異常的影響可能偶爾發生，并從軟件風險的角度評估為可接受。相反，威脅可能會尋找這些類型的異常，并確定利用它們的方法，以便持續顯示異常的影響，與不考慮安全因素的異常評估相比，這可能會顯著影響風險的可接受性。

處理由此產生的安全影響異常的標準和理由應作為上市前提交的文件的一部分提供。

i.TPLC安全風險管理

在整個器械的TPLC中，網絡安全風險可能會繼續被識別。制造商應確保他們擁有適當的資源來識別、評估和緩解網絡安全漏洞，因為它們在整個受支持的器械生命周期中被識別出來。

作為使用SPDF的一部分，制造商應在新信息可用時更新其安全風險管理文檔，例如在開發期間和器械發布后發現新的威脅、漏洞、資產或不利影響時。當在整個器械生命周期中維護時，此文檔(例如，威脅建模)可用于在器械發布后快速識別漏洞影響，并在適當時支持21 CFR 820.100中描述的及時糾正和預防措施活動。

在器械的使用壽命期間，FDA建議風險管理文件考慮到現場器械風險管理的任何差異(例如，已上市的器械或已不再上市但仍在使用的器械)。FDA建議對所有現場版本的任何不同影響進行脆弱性評估，以確保準確評估患者風險。關于是否需要基于上市后漏洞提交新的上市前提交(例如PMA、PMA補充或510(k))或21 CFR Part 806報告的額外信息，以及上市后網絡安全指南中討論的一般上市后網絡安全風險管理。

為證明生產商流程的有效性，FDA建議跟蹤以下措施和指標，或提供等同信息的措施和指標：

•被更新或修補的已識別漏洞的百分比(缺陷密度);

•從漏洞識別到更新或修補的持續時間;和

•從更新或補丁可用到在現場部署的器械中完成實施的持續時間，到已知的程度。

3、軟件物料清單

SBOM-Software Bill of Materials

SBOM既包括器械制造商開發的組件，也包括第三方組件，包括購買/許可的軟件和開源軟件，以及專有、購買/許可和開源軟件所需要/依賴的上游軟件依賴項。

由于漏洞管理是器械安全風險管理流程的關鍵部分，應將SBOM或同等能力作為器械配置管理的一部分進行維護，定期更新以反映已上市器械中軟件的任何更改，并應支持文檔，例如21 CFR 820.30(j)(設計歷史文件)和820.181(器械主記錄)中詳細說明的類型。

FDA指南<醫療器械中現成(OTS)軟件的使用><包含現成(OTS)軟件的網絡醫療器械的網絡安全>描述了制造商無法聲稱完全控制軟件生命周期的軟件組件在上市前提交中應提供的信息。除了這些指南中推薦的信息外，制造商還應提供符合2021年10月美國NTIA發布的<建立軟件組件的透明性:建立一個通用的軟件材料清單(SBOM) >

除了NTIA確定的最低要素外，對于SBOM中包含的每個軟件部件，制造商在上市前提交的材料中還應包括:

•軟件部件制造商通過監控和維護提供的軟件支持水平(例如，軟件被積極維護、不再維護、廢棄)

•軟件組件的支持結束日期;

當提供時，制造商可以選擇提供這些附加元件作為SBOM的一部分，或者他們可以單獨提供，如在附錄中。鼓勵行業認可的SBOM 格式。如果制造商不能向FDA提供SBOM信息，制造商應提供理由說明為什么該信息不能包括在上市前提交中。

作為上市前提交的一部分，制造商還應識別與器械和軟件組件相關的所有已知漏洞，包括CISA已知被利用漏洞目錄中識別的漏洞。

對于每個已知漏洞，制造商應描述如何發現漏洞，以證明評估方法是否足夠穩健。對于已知漏洞的組件，器械制造商應在上市前提交:

•每個已知漏洞的安全和安全風險評估(包括器械和系統影響);

•解決漏洞的適用安全和安全風險控制的細節。如果風險控制包括補償控制，則應以適當的詳細程度加以描述。

4、網絡安全測試

與產品開發的其他領域一樣，測試用于證明設計控制的有效性。雖然軟件開發和網絡安全是密切相關的學科，但網絡安全控制需要在標準軟件驗證和驗證活動之外進行測試，以證明在適當的安全環境中控制的有效性，從而證明器械具有合理的安全性和有效性保證。

根據21 CFR 820.30(f)，制造商必須建立和維護驗證器械設計的程序。此種驗證應確認設計輸出符合設計輸入要求。根據21 CFR 820.30(g)，制造商必須建立和維護驗證其器械設計的程序。設計確認應包括軟件確認和風險分析。FDA建議，驗證和確認包括制造商對醫療器械系統的網絡安全進行的充分測試，制造商通過該測試驗證和驗證其輸入和輸出。

安全測試文件和任何相關的報告或評估應在上市前提交。FDA建議在提交中考慮包括以下類型的檢測:

A.安全需求;

1.應提供每個設計輸入要求已成功實施的證據。

2.制造商應提供其邊界分析的證據和邊界假設的基本原理。

B.減輕威脅;

1.制造商應根據全球系統中提供的威脅模型、多患者危害、可更新性和可補丁性，以及安全用例視圖，提供證明有效風險控制措施的測試細節和證據。

2.制造商應確保每項網絡安全風險控制的充分性(例如，執行指定安全政策時的安全有效性、最大交通條件下的性能、穩定性和可靠性，視情況而定)。

C.漏洞測試(如ANSI/ISA 62443-4- 1的章節9.4),制造商應提供以下測試和分析的細節和證據:

1.濫用或誤用情況，畸形和意外的輸入;

1)穩健性

2)模糊測試

3)攻擊面分析;

4)漏洞鏈;

5)對已知漏洞掃描進行封閉測試;

6)二進制可執行文件的軟件組合分析;

7)靜態和動態代碼分析，包括測試“硬編碼”的默認憑據，這些憑據很容易猜到，也很容易被破壞。

2.滲透測試,通過專注于發現和利用產品中的安全漏洞的測試，識別和描述與安全相關的問題;應提供滲透測試報告，并包括以下內容:

1)測試人員的獨立性和技術專長;

2)測試持續時間;

3）采用的測試方法;

4）測試結果、發現和觀察結果;

器械制造商應在測試報告中指出由誰執行測試(例如，獨立的內部測試人員，外部測試人員)以及負責測試器械的人員與負責設計器械的開發人員的獨立程度。在某些情況下，可能需要使用第三方來確保兩組之間適當的獨立水平，以便在測試期間暴露的漏洞或其他問題得到適當的處理。如需第三方檢測報告，制造商需提供第三方檢測報告原件。對于所有測試，制造商應提供他們對任何發現的評估，包括不實施或推遲任何發現到未來發布的理由。

對于將在未來版本中解決的問題(例如，推遲對未來軟件版本的補救，因為當前風險已被評估為可接受)，上市前提交的文件應包含這些版本的計劃。這樣的計劃應該包括未來軟件版本將解決的漏洞，發布的預期時間表，在此期間發布的器械是否會收到這些更新，以及更新到達器械需要多長時間。有很多權威的安全測試資源可以部分地完成上面提到的測試

FDA建議在整個SPDF中進行網絡安全測試。開發早期的安全測試可以確保安全問題在影響發布時間表之前得到解決，并且可以防止重新設計或重新設計器械的需要。發布后，應根據風險定期進行網絡安全測試(例如，每年一次)，以確保在潛在漏洞被利用之前識別并解決這些漏洞。

來源：北京倍力醫療

FDA發布<醫療器械中的網絡安全:質量體系考慮和上市前提交的內容>最終指南

相關新聞：