美國FDA對醫療器材製造商提出網路安全建議 新指引草案含括產品上市後的網路安全漏洞管理

美國FDA對醫療器材製造商提出網路安全建議
新指引草案含括產品上市後的網路安全漏洞管理
【生策會編譯】
美國FDA近期針對醫療器材上市後的網路安全管理發布指引草案,點出醫療器材製造商應遵循的重要步驟,以不斷因應網路安全風險,保障病患及公衛安全,草案中詳細建議醫療器材在進入市場後,該如何監測、發現和解決網路安全漏洞,使醫療器材在面對網路潛在威脅時仍保有其安全性和有效性,而這隻是美國FDA努力保護醫療器材整個生命週期中的一小部分。
醫療器材的網路安全威脅日益受重視,網路安全漏洞顯示醫療器材具有安全性和有效性的潛在風險。雖然製造商可以在設計產品時嵌入安全控制來避免風險,但重要的是,在醫療器材生命週期中,網路威脅將會不斷變化和出現,廠家在維修設備時也應同步考慮改進產品安全。
美國FDA醫療器材和輻射健康中心Suzanne Schwartz醫學博士 表示:「使用軟體連結到醫院和醫療照護機構的所有醫療器材都存有網路安全漏洞,有些網路安全威脅可以主動防範,有些則需要隨時警惕監測和及時補救。指引草案主要建議醫材製造商在產品上市後持續監視和解決網路安全問題,以保障患者免受危害。」
指引草案建議醫療器材製造商在產品上市後,應依循美國FDA醫療器材品質系統法規,主動地規劃方案以評估網路安全漏洞,且需加入由民間和公部門共同成立之資訊分享和分析組織-ISAO,以共享網路安全訊息。而要建立一個全方位兼具系統性和結構性的網路安全風險管理方案,並可立即發現和解決網路安全漏洞,當中關鍵應包含:
  • 運用美國國家標準技術局(National Institute of Standards and Technology, NIST)所發布「網路安全框架指引」中的核心原理:確認、保護、檢測、回應及復原;
  • 監控網路安全信息的來源,以確認和檢測其漏洞及風險;
  • 了解、評估和檢測網路安全漏洞所造成的影響;
  • 建立發現網路安全漏洞的處理流程;
  • 明訂醫療器材的主要臨床成效,以開發因應網路安全漏洞的保護、回應及復原機制;
  • 採用網路安全漏洞相關政策及其做法;
  • 設置網路安全風險預警機制。
在大多數狀況下,製造商依循上市前審查和相關規範解決網路安全漏洞的動作被視為”網路安全的例行更新或修正”,不需向美國FDA提交預先通知,但若是網路安全漏洞危害醫療器材的臨床性能,並有可能造成患者產生嚴重不良後果或死亡,則美國FDA要求製造商必需預先通知。
指引草案指出,在某些狀況下,若是網路安全漏洞可以被快速解決,降低患者的危害風險,美國FDA不強制要求醫療器材製造商回報訊息,狀況包括:網路安全漏洞沒有造成患者產生嚴重不良事件或死亡;製造商在發現網路安全漏洞後的30天內通知用戶,並修正產品將網路安全風險降至安全規範內;製造商必須是ISAO的成員,並向該機構回報網路安全漏洞及其評估和修復狀態。
Schwartz博士表示「美國FDA鼓勵醫療器材製造商對於網路安全管理採取積極的態度,唯有安全可信任的環境,才能更好地保護病人安全,免於遭受網路安全威脅。」
美國FDA在1月20-21日辦理研討會,探討如何促進醫療器材的網路安全管理,並針對滯礙問題研擬具體解決方案。
自從2013年美國白宮頒行《第13636號行政命令》和《第21號總統政策指令》啟動政府機構和私營部門共同加強網路安全的關鍵基礎設施,美國FDA一直致力於提高網路安全資訊共享,和在風險基準下協作開展實施標準。在2014年10月,美國FDA最終確認草案內容包含:醫療器材在設計開發階段需納入上市前的網路安全管理建議,其他還包含:與國土安全部工業控制系統網路緊急回應小組和國家衛生資訊共享和分析中心建立正式的夥伴關係、自願投入美國國家標準與技術研究院 (NIST) 打造的網路資訊安全架構、辦理會議,如:公開研討會,以及對特定醫療器材的網路安全漏洞發佈安全訊息。
資料來源:美國FDA

Top