最新！FDA发布医疗器械网络安全指南（下）

ITL创新器械开发

接上一篇文章，我们继续探讨医疗器械网络安全指南的后面内容。

透明度

FDA指南得出结论，透明度对于确保器械和系统的安全有效使用和集成至关重要，这种透明度可以通过设备标签和漏洞管理计划来完成。

对于存在网络安全风险的仪器，FDA认为通过标签告知用户安全信息是质量和安全设计控制的重要组成部分，以帮助缓解网络安全风险，并确保设备的持续安全性和有效性。制造商需要提醒的是转移给用户的任何风险都应详细说明，并考虑在可用性测试（例如人因工程测试）期间作为任务纳入，以确保用户有能力采取适当措施来管理这些风险。

FDA列举了以下标签，以向用户传达安全信息：

● 与适用于预期使用环境的网络安全控制相关的设备说明和产品规范（如反恶意软件、防火墙的使用、密码要求）。

● 为用户提供足够详细的图表，以便实施建议的网络安全控制。

● 预期接收和发送数据的网络端口和其他接口的列表。

● 关于支持基础设施要求的用户指南，以便设备能够按预期运行（如最低网络要求、支持的加密接口）。

● 软件材料清单（SBOM），其格式可供用户有效管理其产品，了解已识别漏洞对设备或系统的潜在影响，并部署对策以维护设备的安全性和有效性。

● 用户下载可识别版本的制造商授权软件和固件的系统程序说明，包括用户如何知道软件何时可用的说明。

● 描述产品设计如何使设备在检测到异常情况时做出响应，以保持安全性和有效性。

● 保护设备关键功能（例如备份模式、禁用端口或通信等）的描述。

● 对备份、恢复功能以及身份验证的过程描述。

● 对通过身份验证的授权用户保留和恢复设备配置的方法描述。

● 对装运设备的安全配置的描述以及用户可配置更改的说明。

● 关于如何捕获医生的数据，包括但不限于安全事件保存的任何日志文件，其应包括日志文件的定位、存储、回收、归档方式和位置，以及自动分析软件如何使用日志文件。

● 允许安全网络部署和服务的技术说明，以及用户在检测到网络安全漏洞时如何响应的说明。

● 说明有关设备网络安全、中止和终止的信息。如果设备在支持结束后仍在使用，制造商应制定一个预先建立和预先沟通的风险转移流程，强调最终用户的网络安全风险可能会随着时间的推移而增加。

● 通过清除产品中的敏感、机密和专有数据和软件，安全地停用设备的信息。

FDA指南还要求制造商制定一个正式计划，说明如何向用户传达设备发布后发现的漏洞。本计划应与21 CFR 820.30（g）规定的风险管理流程以及21 CFR 810.100规定的纠正和预防措施流程保持一致。

安全风险管理

FDA指出安全风险管理应该是制造商质量体系的一部分，并进一步阐明了执行安全风险管理的过程与ISO 14971:2019中描述的安全风险管理是一个不同的过程，FDA建议制造商建立一个安全风险管理流程，其包括设计控制、生产过程验证以及纠正和预防措施，以确保安全风险得到充分解决。

FDA明确表示，为了证明符合质量体系设计控制并支持供应链风险管理的流程，所有软件，包括医疗器械制造商开发的软件（“专有软件”）和从第三方获得的软件，都应进行网络安全风险评估，并应解决该风险。此外，制造商必须制定流程和控制措施，以确保软件的供应商符合制造商的网络安全要求。这意味着网络安全必须扩展到供应商管理实践，并按照21 CFR 820.181的要求记录在设备主记录中。

软件材料清单

FDA指南强调软件材料清单（SBOM）流程和发布，并将SBOM中的更改视为设计历史文件（21 CFR 820.30）和设备主记录（21 820.181）的一部分。可以使用任何行业认可的软件格式，其包括以下信息：

● 软件组件名称

● 软件组件版本

● 软件组件制造商

● 软件组件制造商通过监控和维护提供的软件支持级别

● 软件组件开始和结束日期

● 任何已知漏洞

● 安全体系结构

FDA指出，制造商有责任识别其设备和系统中的网络安全风险，并实施适当的控制措施以降低这些风险。这些风险可能包括设备依赖医院网络或云基础设施所带来的风险，因此FDA指南要求安全架构信息证明在风险管理过程中考虑的风险得到了充分控制，从而支持医疗器械系统的安全性和有效性。

FDA指南依赖于21 CFR 820.30（b）、（c）和（d）的现有监管框架，期望仪器安全架构的设计过程、设计要求和验收标准能够全面解决设备和运行系统的网络安全考虑。期望对整个系统进行分析，以了解仪器预期运行的整个环境，并且安全架构将包括对系统级风险的考虑，包括但不限于与供应链相关的风险（如第三方软件等）、设计、生产和部署等。

除了设计控制要求，FDA建议制造商根据21 CFR 840.100，并将其作为系统设计、开发和维护过程的一部分，制定和维护安全架构视图文件。

网络安全测试/客观证据

根据现有QSR，FDA指南声明，验证和确认应包括对系统网络安全进行的充分测试，制造商通过该测试验证和确认其输入和输出。FDA进一步总结道，网络安全控制要求在标准软件验证和确认之外进行测试，以证明控制在适当的安全环境下的有效性，从而证明设备具有合理的安全性和有效性。网络安全测试和相应的客观证据将被视为支持上市前提交的最低软件要求：

● 软件安全要求

● 证明每个设计输入要求已成功实施的证据

● 边界分析的证据及其边界假设的理由

● 风险缓解

● 根据系统、用例和调用流视图中提供的模型，证明有效风险控制措施的测试证据

● 每个网络安全风险控制的充分证据

漏洞测试：

▷ 使用案例、格式错误和意外输入

▷ 稳定性

▷ 模糊测试

▷ 攻击面分析

▷ 漏洞链接

▷ 已知漏洞扫描的封闭式测试

▷ 二进制可执行文件的软件组成分析

▷ 静态和动态代码分析，包括测试“硬编码”、默认、容易猜测和容易泄露的凭证

渗透测试– 通过专注于发现和利用产品中的安全漏洞的测试来识别和表征安全相关问题。

定期网络安全测试– 定期进行，以确保潜在漏洞在被利用之前被识别和解决。

FDA的医疗器械网络安全指南将要求制造商的具有软件、固件或可编程逻辑的系统以及作为医疗器械的软件（SaMD），将与医疗产品的设计、安全和使用相关的网络安全风险降至最低。制造商必须生成并维护用于管理医疗器械网络安全的质量管理体系和风险管理框架的证据，以证明合规性。

英国ITL集团迄今为止成功开发了600多个符合美国FDA和欧盟CE法规要求的医疗器械产品。经验丰富的创新工程师团队帮助您设计、测试、验证医疗器械，并与客户一起执行法规递交流程。我们具备FDA，CE和其他上市前批准流程的经验。我们的团队通过灵活的项目管理来帮助客户，关注其医疗产品在审批过程中的发展，消除可能威胁医疗产品网络安全的各种潜在隐患。