FDA已經認可了一個關鍵的共識標準,以支持器械贊助商解決網絡安全問題,這個標準是:ANSI/AAMI SW96:2023 Standard for medical device security - Security risk management for device manufacturers。
?
FDA鼓勵使用此新標準來提高質量和支持產品性能,該標準由美國國家標準協會(ANSI)和醫療器械促進協會(AAMI)發布,與現有的國際安全風險管理標準和質量體系期望保持一致,并為提供了在器械設計和開發中如何考慮和解決網絡安全風險的指導。
ANSI/AAMI SW96:2023是第一個為管理產品整個生命周期的網絡安全提供了具體要求的共識標準。它以AAMI之前發布的指南TIR57:2016和TIR97:2019為基礎,將這兩份TIR一起使用,并在ISO14971:2019定義的風險管理框架內使用。
• AAMI TIR57:2016/(R)2023; Principles for medical device security—Risk management, is primarily focused on addressing security risk during product design.
• AAMI TIR97:2019/(R)2023; Principles for medical device security—Postmarket risk management for device manufacturers, offers guidance related to managing security risk during and after product production.
【標準發布背景】
ANSI/AAMI SW96:2023的發布正值醫療器械安全風險管理日益困難之際。《美國醫學協會雜志》(The Journal of American Medical Association) 2022年的一項研究發現,2016年至2021年,針對醫療機構的勒索軟件攻擊翻了一番多。美國衛生與公眾服務部(HHS)信息安全辦公室在2023年發布的一份網絡安全報告指出,醫療數據泄露在過去十年中“一直呈上升趨勢”。HHS報告稱,網絡罪犯“不斷尋求讓他們的攻擊更具彈性,更具破壞性,更難反擊。”
網絡安全問題變得如此重要,以至于拜登總統簽署成為法律的2023年"綜合"法案包括了"確保醫療設備的網絡安全"一節,該法案修訂了《聯邦食品、藥品和化妝品法案》中規定的產品提交要求。針對今年3月的修訂,FDA發布了新的醫療器械網絡安全指南,建議制造商提交“監控、識別和解決上市后網絡安全漏洞和漏洞的計劃”,并提交“設計、開發和維護過程和程序,以合理保證器械和相關系統的網絡安全”。
雖然SW96是在FDA指南發布之前開發的,但該標準為器械制造商提供了遵循其建議的路線圖。例如,器械漏洞和漏洞利用的上市后監控,以及重要的網絡安全措施(如修補和創建軟件材料清單(SBOM)),都是SW96中討論的主題之一。
【標準范圍】
SW96標準覆蓋范圍可以分為以下四組。
1.設計中的風險管理流程
在這里,我們檢索AAMI TIR57中描述的風險管理流程的經典步驟。識別、評估、確定風險控制、驗證風險控制的有效性、總體剩余風險可接受性以及風險/收益平衡。
2.生產后風險管理流程
該標準要求建立一個企業范圍的流程來管理生產后網絡安全并創建設計功能,實現網絡安全安全風險的上市后管理,以及與醫療保健服務組織(HDO)網絡安全策略和技術的有效集成。
這兩個主題對于在生產和生產后建立有效的安全風險管理流程非常重要。它是醫療器械中適當過程和適當特征的組合。因此,這些特性應該出現在產品需求規格說明書(高級需求)和軟件需求規格說明書(更詳細的需求)中。
3.監測、控制和協調
有效的風險管理流程需要與用戶、客戶和集成商進行協調。它附帶(部分引用標準):針對安全風險協調與HDOs的通信;了解制造商的安全期望,并將其傳達給在用戶環境中部署醫療設備的人員。
4.補丁交付和停產
風險管理與變更控制和設計過程一起工作,以便及時交付安全補丁。最后,制造商應預測安全可靠的退役,以及設備的壽命終止。
