(原创 2019-04-26 CMDE 中国器审) 美国食品药品监督管理局(FDA)于2018年10月18日发布了《医疗器械网络安全管理上市前申报指南》草案征求公众意见。相较于2014年版的指南,修订后的指南草案纳入了新建议:将医疗器械网络安全风险层级分为“高网络安全风险”和“标准网络安全风险”,引入网络安全物料清单(CBOM)概念。现就草案内容简介如下。 一、前言 该指南草案旨在向业界提供关于医疗器械网络安全设计、标识和上市前申报的建议。这些建议可以促进形成有效的上市前审查过程,有助于保证医疗器械的安全有效性。 二、范围 该指南草案适用于内含软件(包括固件)或可编程逻辑器件的医疗器械以及独立软件的上市前申报,包括上市前通知(510k)、再分类(de novo)、上市前批准(PMA)、产品开发协议(PDP)以及人道主义豁免(HDE)。 三、定义 网络安全:是防止未经授权的访问、修改、滥用或拒绝使用,或未经授权使用从医疗器械到外部接收者所存储、访问或传输信息的过程。 网络安全物料清单(CBOM):一份清单包括但不限于商业、开放资源和现成的软件和硬件组件,这些组件可能易受网络脆弱性影响。 可信设备:包含硬件、软件和/或可编程逻辑器件的医疗器械,且:保证网络安全入侵和误用时的安全;提供合理的可得性、可靠性和正确操作的级别;能够执行预期功能;兼容普遍适用的安全程序。 四、通用原则和风险评估 制造商必须建立并维护用于确认医疗器械设计的程序,其中应包括软件确认和风险分析。网络安全物料清单是识别资产、威胁和责任的关键要素,也可用于支持采购控制的合规性。根据网络安全风险层级定义两类医疗器械: (一)第1层“高网络安全风险”:该医疗器械能够通过有线或无线连接到另一个医疗器械、非医疗产品、网络或互联网,且医疗器械网络安全事件可能会直接导致多个病人发生伤害,如植入式心脏除颤器、心脏起搏器、脑和神经刺激器、透析设备、输注泵及其监控和程控设备。 (二)第2层“标准网络安全风险”:不满足第1层定义的医疗器械。 五、可信医疗器械设计 可信医疗器械网络安全设计应包括: (一)识别和保护:防止所有未经授权的使用,确保代码、数据和执行的完整性,保护数据的保密性。 (二)探测、响应和恢复:及时探测网络安全事件,响应和遏制潜在网络安全事故的影响,具有网络安全事故受损的恢复能力。 六、标识 制造商应在标识中明确:预期使用网络环境、设备关键功能特性、备份与恢复、基础设施使用指南、网络安全配置硬化、网络端口与接口、授权下载流程、网络异常提示、日志记录、特权用户配置、网络架构框图、网络安全物料清单、技术说明书、服务终止信息。 七、网络安全文件 医疗器械网络安全上市前申报文件包括: (一)设计文件 对于第1层医疗器械,提交文件证明医疗器械的设计符合可信网络安全设计的要求;对于第2层医疗器械,提交文件证明医疗器械的设计满足可信网络安全设计的要求,或者基于风险说明不适用于网络安全可信设计的理由。提供网络架构框图并详述网络安全设计情况,提供软件更新确认设计特征。 (二)风险管理文件 包括全生命周期的系统级别网络威胁模型、网络安全风险清单、网络安全风险控制措施、网络安全控制措施有效性测试、可追溯性分析矩阵、网络安全物料清单等内容。
参考文献: [1] FDA. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices Draft Guidance for Industry and Food and Drug Administration Staff. October 18, 2018 [2] FDA. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices Guidance for Industry and Food and Drug Administration Staff. October 2, 2014 审评一部 宋美艳 供稿 |