常见问题
常见问题
FDA、欧盟、国家药品监督管理局(NMPA)和其他关键监管机构已经明确表示,必须在医疗器械的整个生命周期中考虑到网络安全问题。验证和确认网络安全措施的主要手段是测试,其中包括漏洞扫描、模糊测试和渗透测试。以下是有关医疗器械网络安全的5个常见问题:
不,没有发现并不表明该器械是安全的。设备有一些漏洞可能也是安全的,因为在特定的时间点,这些漏洞是安全测试的一部分。但请记住,新出现的安全漏洞,或新的攻击载体,可能会导致软件的安全状况迅速恶化。
不,没有法律规定必须这样做。然而,专门的安全指南,如FDA关于医疗器械网络安全上市前提交内容的指南和欧洲MDCG 2019-16指南以及IEC 81001-5-1等标准,都表明必须进行漏洞扫描。这意味着,你需要有充分的理由才能跳过这个程序。这项要求同样适用于渗透测试。
您必须先考虑与变更有关的安全测试和回归测试,这些测试显示你的变更没有对您的器械的网络安全产生负面影响。在许多情况下,应该重复进行漏洞扫描或渗透测试;至少是部分重复。
是的,如果您在组织内拥有适当的能力,可以自己进行这些测试。尽管如此,多一个人监督器械还是更好的。
第三方评估最重要的是第三方的公正性。这取决于您选择的第三方;您也可以从知识更渊博的第三方那里寻求帮助。就网络安全测试而言,应确保第三方的医疗器械特定知识和专业技能,最好是根据医疗器械标准(如IEC60601-4-5)进行认证。由经授权的实验室进行测试的产品,除了确保基于风险的测试类别协调一致外,还将为行业提供更高层次的保证。"
网络安全培训
提供培训,以提高人们对医疗器械网络安全的认识和理解。培训的目的是阐明监管框架中规定的要求,如:
此外,还可以根据国际标准提供培训,目的是了解医疗器械中网络安全的实施,如:
概念评估
概念评估旨在通过评估国际/统一标准、网络安全现状和法规要求,确定网络安全差距,包括:
漏洞扫描/评估和静态/动态代码分析
漏洞扫描的目的是识别和检测计算机、网络或应用程序(程序)中的已知弱点。其目的是,一旦制造商发现关键漏洞,就能进行补救。这种方法的好处是弥补漏洞,保持医疗器械的强大安全性。
这些服务包括:
渗透测试和模糊测试
渗透测试的目的是模拟网络攻击,评估医疗器械/软件的安全状况。其目的是识别人工测试中未发现的弱点。试验报告结果可作为医疗器械网络安全有效性的客观证据(类似于将60601-1报告作为医疗器械安全性的客观证据)。服务包括:
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa