新聞動態
美國FDA對醫材商規範更嚴謹的法規指引以強化網絡安全
2022-04-11

來源:生策會編譯

閏年、總統大選、奧運等重要大事每四年一次,除此之外還有美國FDA將加強網絡安全措施,以保護連網醫療設備(IoT in Healthcare)。繼2018年和2014年發布之後,該機構關於這一主題的最新指引草案(PDF)近日出爐。 美國FDA指出,當涉及到網絡安全問題時,定期修訂和更新是特別必要的,因為 "快速發展的環境和面臨威脅及其潛在緩解措施來進一步了解",以及越來越多針對醫材和醫療機構的駭客攻擊。

該指引圍繞四個核心原則:(1)網絡安全是整個設備安全的一個關鍵部分、(2)安全元素需要崁入整個設備的設計中、(3)揭露網絡安全措施和漏洞透明度的重要性,以及(4)要求在設備的監管申請中探討所有潛在之漏洞。

美國FDA表示:“這些建議綜合起來,可以促進高效的上市前審查流程,並有助於確保上市的醫療設備對網絡全威脅有足夠的彈性"。

為了確保所有這四項中心原則都存在於設備的開發和最終提交的FDA文件中,該機構建議藥材設備製造商建立並採用安全產品開發框架,或稱SPDF,它被描述為 "在整個設備生命週期中減少產品漏洞數量和嚴重程度的一套流程"。SPDF應包括設備製造商的風險管理努力,其每個設備的安全架構和網絡安全測試的細節。

在第一類中,美國FDA為風險管理策略提供了一些建議,然後可以在上市前提交的文件中描述。 它們包括對設備的所有潛在威脅進行建立模型,並在提交審查前對設備軟體的所有錯誤、缺陷和其他異常情況進行徹底評估。FDA還要求開發商將所有第三方零組件納入其網絡安全風險評估,最好是編制一份 "軟體材料清單",列出設備的每一個零組件,以便更容易地確定任何未來漏洞的來源。

同時,一個設備的安全架構,"定義了系統和所有進入和/或離開系統的端到端連結。透過在上市前審查過程中提交該資訊,該機構將能夠更好地評估其安全性並權衡任何潛在的駭客風險。

最後,除了對設立醫療備解決指定健康問題的能力的典型測試外,美國FDA還要求醫材設備製造商將他們的產品通過網絡安全的考驗,並以與臨床試驗文件相同的方式提交這些結果,包括產品對安全的要求、減少威脅的努力以及漏洞和滲透測試(Penetration Test, PT) 。

自2014年美國FDA為醫療設備製造商敲定第一份網絡安全指引以來,一直在穩步加強其抵禦網絡攻擊的努力。例如,在2021年初,該機構在設備和放射健康中心 (Center for Devices and Radiological Health;CDRH)任命了有史以來第一位醫療設備網絡安全主任。 該機構任命密歇根大學(University of Michigan)副教授兼安全和隱私研究小組主任Kevin Fu博士以代理身份擔任這項職務。

資料來源:FierceBiotech

本網站中所有資料(包括圖檔及文字檔),著作權皆屬本會所有(除另有註明者,或本會網站連結至外部之網站除外),如有引用,請確實註明出處來源。<完整資訊>
©Institute for Biotechnology and Medicine Industry (IBMI) All rights reserved.
地址:115 台北市南港區園區街3號16樓之1 電話:(02)2655-8168 傳真:(02)2655-7978