医疗器械上市后的网络安全管理.docx

《医疗器械上市后的网络安全管理.docx》由会员分享，可在线阅读，更多相关《医疗器械上市后的网络安全管理.docx（28页珍藏版）》请在第一文库网上搜索。

1、医疗器械上市后的网络安全管理行业及美国食品药品管理局工作人员指南文件发布日期t 2016年12月28日本文件草案发布于2016年1月22日。如对本文存在疑问，请联系美国食品药品管理局医疗器械和辐射健康中心的SUzanne Schwartz：美国马里兰州银泉市新罕布什尔大街10903号66号楼5434室，邮编：20993-0002 ;电话：301-796-6937o如有关于本文中CBER所监管器械的问题，请联系CBER的交流、 外联和发展办公室：电话：1-800-835-4709或240102-8010；电子邮件：ocodfda.hhs.govU.S. FOOD & DRUG美国卫生和公众服务部

2、ADMINISTRATION美国食品药品管理局医疗器械和放射卫生中心中心主任办公室生物制品评价和研究中心序言公众意见你可以随时提交电子意见和建议到http:/WWW.regulations.gov.,以供该机构审议。书面意见 可提交至美国马里兰州罗克维尔市FiSherS Lane 5630号1061室美国食品药品管理局文档管理 部（HFA-305）,邮编：20852。请使用文档编号FDA -2015-D-5105来标识所有意见在下 一次修订或更新文件之前，该机构可能不就意见采取行动。额外副本CDRH您可以从互联网上获得额外副本。您也可以向CDRH-GUidanCefda.hhs.gov发送电子

3、邮件 请求，以接收指南的电子副本。请使用文档编号1400044来标识您请求的指南。CBER如有需要，可提交书面请求至生物制品评价和研究中心（CBER）的交流、外联和发展办 公室请求提供本指南的额外副本：美国马里兰州银泉市新罕布什尔大街10903号71号楼3128 室，邮编：20993-0002 ；电话：1-800-835-4709或240-402-8010；或发送电子邮件至 OCOd（S） fda.hhs.gov；或访问WWW.fda.gov/BiROgiCSBloOdVaCCineS/GuidancecomDlianceRegulatoryInfomiatiorVGUidanCeS/defa

4、ult.htm。目录I. 引言4II. 背景5III. 范围8IV. 定义9A.补偿性控制9B.可控风险9C.网络安全常规更新和补丁9D.网络安全信号10E.漏洞利用10F.患者伤害10G.修复11H.威胁111 .威胁建模11J. 不可控风险12K.漏洞12V. 一般原则12A.上市前注意事项12B.上市后注意事项13C.维护安全性和基本性能14VI. 医疗器械网络安全风险管理15A.评估网络安全漏洞的可利用性15B.评估患者伤害的严重程度17C患者伤害风险的评估17VII. 网络安全漏洞的修复和上报18A.患者伤害的可控风险19B.器械安全性和基本性能的不可控风险21VIII. PMA定期

5、报告中的建议内容25IX. 制造商积极参与ISAo的确定标准25X. 附录：有效的上市后网络安全计划中的要素27A.识别27i .维持安全性和基本性能27ii .网络安全信号的识别27B.保护/检测28i .漏洞描述和评估28ii .风险分析和威胁建模28iii . 威胁来源的分析29iv .威胁检测能力的并入29V.所有器械的影响评估29C.保护/响应/恢复29i. 补偿控制评估（检测/响应）29D.安全性和基本性能的风险缓释30医疗器械上市后的网络安全管理行业及美国食品药品管理局工作人员指南本指南代表美国食品药品管理局(FDA或该机构)关于这一主题的当前意见。它不赋予任 何人任何权利,也不

6、对FDA或公众具有约束力。如果其他方法满足适用法令和法规的要求 ，你也可以使用该方法。如果需要讨论替代方法,请联系标题页所列的负责本指南的FDA 工作人员。I. 引言美国食品药品管理局(FDA)发布本指南的目的在于向行业及FDA工作人员介绍其关于市 场在售医疗器械上市后网络安全漏洞的管理事宜。除了本指南中所包含的具体建议外， FDA也鼓励制造商在整个产品使用寿命周期，包括在器械设计、开发、生产、销售、部署 和维护期间解决网络安全问题L目前，越来越多的医疗器械的设计正趋向于实现网络化以 便于实施患者护理。就像其他网络化的计算机系统一样，网络化的医疗器械也引入了可能 存在网络安全威胁漏洞的软件。一

7、旦暴露出来，这些漏洞可能会形成健康风险而且通常需 要在产品的整个使用寿命周期中持续维护，以确保为产品提供足够等级的保护以免于被这 些漏洞所利用。就医疗器械而言，主要解决其中存在的网络安全风险会减少其对健康所带 来的整体风险。本指南阐明了FDA的上市后建议并强调制造商应该监测、鉴别并解决网络安全漏洞和漏洞 利用以作为他们对医疗器械实施上市后管理的一部分。本指南确立了以风险为基础的框架 ，以用于评估向FDA报告需上报医疗器械网络安全漏洞变更的时间，并且概述了FDA根据 21 CFR第806部分的规定不计划强制实施报告要求的情况。21 CFR第806部分要求器械制造 商或进口商立即向FDA上报某些含

8、更正和删除器械的行动。然而，制造商为解决网络安全 漏洞和漏洞利用，也称之为“网络安全常规更新和补丁”，而采取的大多数行动通常被认为 是一种器械增强2,而对此FDA并未按照21 CFR第806部分的规定要求提前通知或报告。就 制造商为纠正可能构成健康风险的网络安全漏洞和漏洞利用而采取的少数行动而言，FDA 可能会要求医疗器械制造商向其发出通知二器械所带来的健康风险可能会导致患者受伤。I请参阅FDA的指南，“医疗器械网络完全管理上市前提交材料的内容”(http:WWW.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocume

9、nts/UCM356190) 2请参阅FDA的指南，“从需增强的医疗器械中区分需召回的医疗器械”(http:/www.fda.gOv/downloads/MedicalDevices./DeviceRegulationandGuidance/GuidanceDocuments/UCM418469. pdf) 0& 请参阅 21 CFR 806.10木指南中提供了关于如何评估患者受伤风险4是否充分可控或不可控制的建议。该评估以对 器械出现漏洞利用的可能性评价、对器械安全性和基本性能,的影响，以及对患者造成伤害 的严重程度为基础。本文并非旨在提供关于按照联邦食品、药品和化妆品法案(FD&C法案)第

10、519节和21 CFR第803部分医疗器械报告(MDR)法规的规定向FDA报告器械在何时会导致或促成死 亡或严重伤害的指南。关于当前适用于医疗器械制造商的报告和记录保存要求的解释，请 参 阅 制 造 商 医 疗 器 械 报 告 指 南 ( http:/www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM 359566) o关于本文所引用的FDA认可标准的当前版本，请访问FDA认可共识标准数据库网页： http:/WWW.accessdata.fda.gov/SCriDtScdrhCfCloCSc

11、fStandardssearch.cfm。FDA的指南文件(包括本最终指南)不构成法律上可强制执行的责任。相反，指南描述了 机构目前对某一主题的观点，除非引用了特定的监管或法定要求，否则应仅视为建议。机 构指南中的应当是指建议或推荐的内容，而不是必须的。II.背景2013年2月19日，美国总统颁布了第13636号行政命令提高关键基础设施网络安全(EO 13636； https:WWW.gpo.gov/fdsys/Dkg/FR-2013-02-19Ddf2013-03915.pdf),此命令对种 观点表示了认可：恢复力基础设施对于维持美国的国家安全、经济稳定和公共健康与安全 而言是必不可少的。E

12、O 13636中表示，对于国家安全而言，网络威胁是最为严重的，而利 益相关者必须提高关键设施的网络安全和恢复力。而且，这一目标的实现需要医疗和公共 卫生的关键基础设施部门(HPH部门)共同努力。此外，于2013年2月12日发布的第21号总 统政策指令 关键基础设施的安全性与恢复力(PPD-21； https:/www.whitehouse.gov/the- DreSS-OffiCe/2013/02/12/Dresidential-policy-directive-critical-infrastructure-security-and-resil) 指 出，联邦政府实体应负责针对现实和网络威胁

13、而增强关键基础设施的安全性和恢复力，从 而通过努力以减少网络漏洞、降低出现不良后果的可能性，以及辨别并瓦解威胁。PPD-21 鼓励所有公共及私人利益相关者共同承担责任以实现这些成果。4 ANSI/AAMI/ISO 14971： 2007/ (R) 2010：医疗器械-依赖器械风险管理应用,第2.16节风险的定 义。5ANSIZAAMI ES6060I-1： 2005/ (R) 2012和Ah 2012, C1： 2009/ (R) 2012和A2： 2010/ (R) 2012(合并文本)医疗电气设备第 1部分：基本安全性和基本性能的一般要求(正C 皿-； 2005, MOD),第3.27节规

14、定，“基本性能为临床功能的性能，除了与基本安全相关的方面外，如果器械损失或 退化超过制造商所规定的限度就会导致不可接受的风险“ 关于网络安全的共同责任，安全行业已经确定了众多参考资源，其中包括标准、指南、最 佳时间和框架，以帮助利益相关者适应网络完全风险管理问题。其中，最佳实践包括合作 评估网络安全情报信息对器械功能性所造成的风险及临床风险。FDA认为，根据EO 13636 和PPD-21,公共和私人利益相关者应合作利用可用的资源及工具，以达成一个共识：评估 信息技术团体、医疗保健服务组织（HD0）、临床用户团体和医疗器械团队中己鉴别的医 疗器械漏洞。这些合作会使网络安全威胁和漏洞的评估与缓释

15、，以及它们对医疗器械的影 响保持一致，从而最终会减少对患者的潜在伤害风险。网络安全风险管理是利益相关者，包括医疗器械制造商、用户、信息技术（IT）系统整合 商、健康IT开发者，以及一系列提供不受FDA监管产品的IT供应商的共同责任。对于处于 其管辖之下的这些利益相关者，FDA力图能通过明确与器械功能性和器械用户的网络安全 危险相关的建议而鼓励各利益相关者们相互合作。正如FDA的指南“医疗器械网络安全管理上市前提交材料的内容”（ http:/www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM 356190）所述，当制造商在医疗器械使用寿命周期中的设计阶段考虑到网络安全时，就会 产生一种更加主动且稳健的网络安全风险缓释影响。同样地，在医疗器械的上市后阶段中 ,通过参与网络安全信息的共享和监测、促进“良好网络卫生”，在器械的常规网络维护， 使用基于风险的方法评估器械的上市后信息以确定漏洞的特性并及时落实必要的行动，通 过采取这种主动的、基于风险的方法可以进一步缓解新兴网络安全风险，并减少对患者的 影响。为进