食品药品监督管理局医疗器械的更新网络安全指导
与连接的医疗设备,为监管机构网络安全已成为一个热点话题。在过去的几年里,网络安全事件影响医疗设备和医院网络破坏的病人提供医疗服务和潜在的危险。网络安全是一个过程,防止未经授权的访问、修改、滥用,拒绝使用,或者只是未经授权使用的信息存储,访问,或者从产品转移到外部收件人。开云足球app下载官网最新版
对网络安全的关注导致了一些网络安全相关指导文件被发表在过去的几年里。这些指导文档可以使用制造商确保他们是解决网络安全的方式满足监管机构的期望。一些最重要的指导文件可包括:
- FDA -上市前的内容提交管理网络安全的医疗设备
- FDA -内容管理网络安全的医疗器械上市后提交
- 欧盟-MDCG 2019 - 16指导网络安全医疗设备
- AAMI - TIR57:医疗器械安全原则——风险管理
- AAMI -医疗器械安全TIR97原则上市后风险管理设备制造商
FDA最初发布上市前的内容提交2014年医疗器械指导网络安全管理共9页,覆盖的元素一个网络安全的过程,网络安全框架的核心功能(识别、保护、检测、响应和恢复)。的2022年4月更新指导是49页和地址网络安全作为质量管理体系(QMS)和总产品生命周期(TPLC)。开云足球app下载官网最新版根据FDA,指导的变化旨在进一步强调确保设备安全设计的重要性,能够减轻整个TPLC新兴网络安全风险,以及更清楚地概述上市前的FDA的建议提交信息来解决网络安全问题。
相关:5 FBI对医疗设备网络安全的建议
记住,改变指导是确保网络安全解决作为TPLC和质量管理体系的一部分,以下具体要求已添加到网络安全指南:
- 指导试图确保制造商所做的一切都需要设计的设备是安全的。FDA现在要求制造商实现开发过程和解决网络安全风险的设计控制(21 CFR 820.30)。这包括识别安全风险,如何控制风险的设计要求,和证据表明,控制是有效的。
- 美国食品及药物管理局建议的实现和采用安全产品开发框架(SPDF)在整个TPLC解决网络安全。开云足球app下载官网最新版SPDF是一组进程,减少产品的数量和严重性漏洞整个设备生命周期;开云足球app下载官网最新版使用一个SPDF方法来帮助确保近年的需求得到满足。
- 指导包括标签的要求提供有关设备的信息网络安全控制,潜在的风险和其他相关信息
- 指导需要安全风险管理过程(在组织层面)来识别、评估和控制安全风险。执行安全风险管理的过程应该是一个截然不同的过程执行ISO 14971:2019中描述的安全风险管理。FDA建议制造商建立安全风险管理过程,包括设计控制(21 CFR 820.30),验证生产过程(21 CFR 820.70),以及纠正和预防措施(21 CFR 820.100),以确保安全和安全风险都充分解决。开云足球app下载官网最新版安全风险管理过程和安全风险管理过程中,虽然独立,必须集成,以便安全风险可能导致病人伤害,一旦确定,可以使用的风险可接受性来评估安全风险管理过程。当安全风险或控制措施有可能影响患者安全或医疗设备的有效性,那么它应该被包括在产品风险评估。开云足球app下载官网最新版同样,任何可能影响安全的风险控制应包括在安全风险评估。
- FDA建议威胁建模在整个设计过程中进行风险分析活动通知和支持。
- 指导要求网络安全带来的风险必须解决第三方软件组件和证据被包括在设计历史文件。开云官网入口下载手机版
- 指导建议一个软件的使用材料清单(SBOM)和指定的信息必须包含在SBOM,开云官网入口下载手机版或作为文档的一部分。
- 安全风险管理计划的指导指定要求和安全风险管理报告。
- 指导要求漏洞检测和渗透测试,以及验证安全控制的有效性。
- 指导指定要求漏洞沟通计划,因为网络安全风险的发展随着科技的发展在整个设备的TPLC, FDA建议制造商建立一个计划如何识别和沟通的漏洞识别后释放装置。脆弱性沟通计划还应该解决周期性安全测试。
相关:MDIC HSCC团队建立医疗设备安全标准
总之,FDA网络安全提高了标准的新指导FDA预计行业如何应对网络安全在整个TPLC和规定要求额外的可交付成果,测试和标签。
