|
|
美國食品藥品監督管理局(FDA)于2018年10月18日發(fā)布了《醫療器械網(wǎng)絡(luò )安全管理上市前申報指南》草案征求公眾意見(jiàn)����。相較于2014年版的指南���,修訂后的指南草案納入了新建議:將醫療器械網(wǎng)絡(luò )安全風(fēng)險層級分為“高網(wǎng)絡(luò )安全風(fēng)險”和“標準網(wǎng)絡(luò )安全風(fēng)險”��,引入網(wǎng)絡(luò )安全物料清單(CBOM)概念�,F就草案內容簡(jiǎn)介如下��。
一�����、前言
該指南草案旨在向業(yè)界提供關(guān)于醫療器械網(wǎng)絡(luò )安全設計���、標識和上市前申報的建議���。這些建議可以促進(jìn)形成有效的上市前審查過(guò)程��,有助于保證醫療器械的安全有效性�����。
二����、范圍
該指南草案適用于內含軟件(包括固件)或可編程邏輯器件的醫療器械以及獨立軟件的上市前申報�����,包括上市前通知(510k)��、再分類(lèi)(de novo)�、上市前批準(PMA)�、產(chǎn)品開(kāi)發(fā)協(xié)議(PDP)以及人道主義豁免(HDE)�。
三�、定義
網(wǎng)絡(luò )安全:是防止未經(jīng)授權的訪(fǎng)問(wèn)��、修改����、濫用或拒絕使用��,或未經(jīng)授權使用從醫療器械到外部接收者所存儲��、訪(fǎng)問(wèn)或傳輸信息的過(guò)程����。
網(wǎng)絡(luò )安全物料清單(CBOM):一份清單包括但不限于商業(yè)���、開(kāi)放資源和現成的軟件和硬件組件�����,這些組件可能易受網(wǎng)絡(luò )脆弱性影響�����。
可信設備:包含硬件���、軟件和/或可編程邏輯器件的醫療器械�����,且:保證網(wǎng)絡(luò )安全入侵和誤用時(shí)的安全����;提供合理的可得性��、可靠性和正確操作的級別�����;能夠執行預期功能�;兼容普遍適用的安全程序���。
四���、通用原則和風(fēng)險評估
制造商必須建立并維護用于確認醫療器械設計的程序�����,其中應包括軟件確認和風(fēng)險分析�。網(wǎng)絡(luò )安全物料清單是識別資產(chǎn)�����、威脅和責任的關(guān)鍵要素����,也可用于支持采購控制的合規性�����。根據網(wǎng)絡(luò )安全風(fēng)險層級定義兩類(lèi)醫療器械:
��。ㄒ唬┑1層“高網(wǎng)絡(luò )安全風(fēng)險”:該醫療器械能夠通過(guò)有線(xiàn)或無(wú)線(xiàn)連接到另一個(gè)醫療器械��、非醫療產(chǎn)品���、網(wǎng)絡(luò )或互聯(lián)網(wǎng)�,且醫療器械網(wǎng)絡(luò )安全事件可能會(huì )直接導致多個(gè)病人發(fā)生傷害�����,如植入式心臟除顫器����、心臟起搏器���、腦和神經(jīng)刺激器��、透析設備��、輸注泵及其監控和程控設備����。
��。ǘ┑2層“標準網(wǎng)絡(luò )安全風(fēng)險”:不滿(mǎn)足第1層定義的醫療器械�。
五��、可信醫療器械設計
可信醫療器械網(wǎng)絡(luò )安全設計應包括:
����。ㄒ唬┳R別和保護:防止所有未經(jīng)授權的使用����,確保代碼�、數據和執行的完整性��,保護數據的保密性�����。
�。ǘ┨綔y�����、響應和恢復:及時(shí)探測網(wǎng)絡(luò )安全事件�,響應和遏制潛在網(wǎng)絡(luò )安全事故的影響���,具有網(wǎng)絡(luò )安全事故受損的恢復能力�。
六����、標識
制造商應在標識中明確:預期使用網(wǎng)絡(luò )環(huán)境���、設備關(guān)鍵功能特性�、備份與恢復�����、基礎設施使用指南����、網(wǎng)絡(luò )安全配置硬化����、網(wǎng)絡(luò )端口與接口�����、授權下載流程�、網(wǎng)絡(luò )異常提示�����、日志記錄��、特權用戶(hù)配置��、網(wǎng)絡(luò )架構框圖����、網(wǎng)絡(luò )安全物料清單�����、技術(shù)說(shuō)明書(shū)��、服務(wù)終止信息�。
七��、網(wǎng)絡(luò )安全文件
醫療器械網(wǎng)絡(luò )安全上市前申報文件包括:
�����。ㄒ唬┰O計文件
對于第1層醫療器械���,提交文件證明醫療器械的設計符合可信網(wǎng)絡(luò )安全設計的要求�;對于第2層醫療器械��,提交文件證明醫療器械的設計滿(mǎn)足可信網(wǎng)絡(luò )安全設計的要求���,或者基于風(fēng)險說(shuō)明不適用于網(wǎng)絡(luò )安全可信設計的理由���。提供網(wǎng)絡(luò )架構框圖并詳述網(wǎng)絡(luò )安全設計情況��,提供軟件更新確認設計特征���。
��。ǘ╋L(fēng)險管理文件
包括全生命周期的系統級別網(wǎng)絡(luò )威脅模型���、網(wǎng)絡(luò )安全風(fēng)險清單�、網(wǎng)絡(luò )安全風(fēng)險控制措施����、網(wǎng)絡(luò )安全控制措施有效性測試���、可追溯性分析矩陣����、網(wǎng)絡(luò )安全物料清單等內容���。
|
|
020-29820-234
[復制鏈接]
發(fā)表于 2019-4-29 10:52:54
收藏
分享
淘帖