歐盟醫(yī)療器械CE認(rèn)證?有關(guān)網(wǎng)絡(luò)安全的指導(dǎo)原則:MDCG2019-16 醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則
歐盟醫(yī)療器械CE認(rèn)證有關(guān)網(wǎng)絡(luò)安全的指導(dǎo)原則:MDCG2019-16 醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則
醫(yī)療器械協(xié)調(diào)工作組(MDCG)前期發(fā)布了“醫(yī)療器械信息安全指南, 2019年12月”。該指南不具有法律約束力,但公告機(jī)構(gòu)必須遵循。這意味著您作為制造商也需要遵循。不幸的是,該指南并未就如何處理該問題提出明確的框架,而是概述了也可在其他資源中找到的要求和方法,例如:
uISO /IEC 80001-1風(fēng)險(xiǎn)管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用
uIEC /TR 80001-2-2風(fēng)險(xiǎn)管理在包含醫(yī)療器械的IT網(wǎng)絡(luò)中的應(yīng)用第2-2部分:醫(yī)療器械安保需求、風(fēng)險(xiǎn)和控制的披露和溝通指南。
uAAMITIR 57醫(yī)療器械安保原則-風(fēng)險(xiǎn)管理
MDCG指南把MDR一般安全和性能要求(GSPR)關(guān)聯(lián)了起來。介紹了深度防御,良好網(wǎng)絡(luò)安全防范 (FDA指導(dǎo)中的基本安全防范)以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與產(chǎn)品安全風(fēng)險(xiǎn)之間的關(guān)系這樣一些概念。
還引入可用性工程與網(wǎng)絡(luò)安全之間的聯(lián)系:脆弱性被視為合理可預(yù)見的濫用的促成因素。
MDCG指南提出了6個(gè)最佳實(shí)踐,主要使用了ISO 13485和IEC 62304中的設(shè)計(jì)和維護(hù)過程中步驟:
1 管理上的安全
-ISO13485 4.1,用于安全風(fēng)險(xiǎn)管理過程;
-IEC62304 5.1:軟件開發(fā)計(jì)劃;
-IEC62304 6.1:軟件維護(hù)
2 安全要求規(guī)范
-IEC62304 5.2:軟件需求分析
3 通過設(shè)計(jì)確保安全,包括深度防御
-IEC62304 5.3:軟件體系結(jié)構(gòu);
4安全實(shí)施
-IEC62304 5.4:軟件詳細(xì)設(shè)計(jì);
-IEC62304 5.5:軟件實(shí)施和單元驗(yàn)證;
-以及SOUP管理的正確性
5安全驗(yàn)證和確認(rèn)
-IEC62304 5.6:軟件集成測試;
-IEC62304 5.7:軟件系統(tǒng)驗(yàn)證;
6安全相關(guān)問題的管理
-IEC62304 6.2:問題和修改分析;
-IEC62304 9:問題解決
7安全更新管理
-IEC 623046.3:修改實(shí)施;
-IEC62304 8.2:變更控制;
8 安全準(zhǔn)則
-5.8軟件發(fā)布;
-以及軟件文檔,請參閱IEC 82304-1第7節(jié)。
指南也提到驗(yàn)證與確認(rèn)
安全驗(yàn)證和確認(rèn)測試的主要手段還是測試,方法可以包括安全功能測試、模糊測試,漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產(chǎn)品,確定組件與已知問題。
指南也描述了關(guān)于說明書,PMS和警戒等內(nèi)容。
IMDRF就醫(yī)療器械網(wǎng)絡(luò)安全發(fā)布的官方指南——《醫(yī)療器械網(wǎng)絡(luò)安全原則與實(shí)踐》(Principles and Practicesfor Medical DeviceCybersecurity),這個(gè)在全球監(jiān)管協(xié)調(diào)方面具有重要且特別的意義。