医疗器械网络安全

FDA、欧盟、国家药品监督管理局（NMPA）和其他关键监管机构已经明确表示，必须在医疗器械的整个生命周期中考虑到网络安全问题。验证和确认网络安全措施的主要手段是测试，其中包括漏洞扫描、模糊测试和渗透测试。以下是有关医疗器械网络安全的5个常见问题：

1.漏洞扫描、模糊测试和渗透测试没有发现任何问题，是否说明我的医疗器械是安全的？

不，没有发现并不表明该器械是安全的。设备有一些漏洞可能也是安全的，因为在特定的时间点，这些漏洞是安全测试的一部分。但请记住，新出现的安全漏洞，或新的攻击载体，可能会导致软件的安全状况迅速恶化。

2.是否有法律规定必须进行漏洞扫描？

不，没有法律规定必须这样做。然而，专门的安全指南，如FDA关于医疗器械网络安全上市前提交内容的指南和欧洲MDCG 2019-16指南以及IEC 81001-5-1等标准，都表明必须进行漏洞扫描。这意味着，你需要有充分的理由才能跳过这个程序。这项要求同样适用于渗透测试。

3.每次更变更软件后，我是否必须重复进行漏洞扫描或渗透测试？

您必须先考虑与变更有关的安全测试和回归测试，这些测试显示你的变更没有对您的器械的网络安全产生负面影响。在许多情况下，应该重复进行漏洞扫描或渗透测试；至少是部分重复。

4.是否可以自行进行漏洞扫描和渗透测试？

是的，如果您在组织内拥有适当的能力，可以自己进行这些测试。尽管如此，多一个人监督器械还是更好的。

5.为什么我应该使用第三方进行网络安全评估？

第三方评估最重要的是第三方的公正性。这取决于您选择的第三方；您也可以从知识更渊博的第三方那里寻求帮助。就网络安全测试而言，应确保第三方的医疗器械特定知识和专业技能，最好是根据医疗器械标准（如IEC60601-4-5）进行认证。由经授权的实验室进行测试的产品，除了确保基于风险的测试类别协调一致外，还将为行业提供更高层次的保证。"

6.TÜV南德意志集团提供哪些医疗器械网络安全服务？

网络安全培训

提供培训，以提高人们对医疗器械网络安全的认识和理解。培训的目的是阐明监管框架中规定的要求，如：
此外，还可以根据国际标准提供培训，目的是了解医疗器械中网络安全的实施，如：

• 欧洲要求，如MDCG 2019-16
• 美国FDA的要求，如
  
  • 美国食品药品监督管理局的质量体系规范（FDA  QSR）
  • 网络安全的上市前管理
  • 网络安全的上市后管理
  • 联网医疗器械的网络安全
• 中国国家药品监督管理局（NMPA）
• 针对当地语言（如日语、新加坡语、巴西语和韩语）的按需培训。
• IEC TR 60601-4-5医疗器械网络安全
  
• ISO 14971:2019 医疗器械风险管理
• ISO 62443-3-2 工业自动化安全
  

概念评估

概念评估旨在通过评估国际/统一标准、网络安全现状和法规要求，确定网络安全差距，包括：

• IEC TR 60601-4-5医疗器械网络安全
  
• IEC 81001-5-1安全—产品生命周期中的活动
  
• ISO 62443-3-2 工业自动化安全
  
• MDCG 2019-16 医疗器械网络安全
  
• 网络安全的上市前管理
  
• 网络安全的上市后管理
  
• 联网医疗器械的网络安全
  

漏洞扫描/评估和静态/动态代码分析

漏洞扫描的目的是识别和检测计算机、网络或应用程序（程序）中的已知弱点。其目的是，一旦制造商发现关键漏洞，就能进行补救。这种方法的好处是弥补漏洞，保持医疗器械的强大安全性。

这些服务包括：

• 漏洞扫描（例如，网络扫描、网络应用程序扫描、固件/软件扫描），并在漏洞评估报告中对确定的漏洞进行文件和分级。
• 静态和动态代码分析，包括带有漏洞分级的专用测试报告

渗透测试和模糊测试

渗透测试的目的是模拟网络攻击，评估医疗器械/软件的安全状况。其目的是识别人工测试中未发现的弱点。试验报告结果可作为医疗器械网络安全有效性的客观证据（类似于将60601-1报告作为医疗器械安全性的客观证据）。服务包括：

•  TÜV南德的渗透测试是根据所有主要框架（如开源安全测试方法（OSSTM）、渗透测试的执行标准（PTES）、信息安全测试评估技术指南（NIST 800-115）、信息系统安全评估框架（ISSAF）和开放式Web应用程序安全项目（OWSAP））的最佳实践进行的。
• 根据IEC/TR 60601-4-5，考虑到医疗器械的基本安全和基本性能，渗透测试和模糊测试在DAkkS（德国的认可委员会）认证的医疗器械网络安全下进行。
  
• 上述标准中未涵盖的额外测试要求
• 开发专属于产品的测试方法
• 评估专属于供应商的安全解决方案