medical device cyber security

医疗器械和体外诊断仪器网络安全

医疗器械检测是将创新设计变成可靠适销产品过程中的关键环节。

医疗器械检测是将创新设计变成可靠适销产品过程中的关键环节。

为何医疗器械和体外诊断仪器网络安全测试如此重要?

出于监管、道德和财务方面的原因,必须考虑并确保医疗器械、IVD及其配件的网络安全。例如:

  • 遵守监管要求是进入美国、欧盟、中国、澳大利亚和英国等所有主要地区医疗器械市场的先决条件。其中包括《欧洲医疗器械法规》(MDR)和《体外诊断医疗器械法规》(IVDR),法规附件一“一般安全和性能要求”下阐明了若干网络安全要求。另一方面,美国食品和药物管理局(FDA)提供指导文件,如 “医疗器械上市后网络安全管理”,规定了如何履行相关网络安全要求。

cybersecurity_product_lifecycle

  • 未经授权访问医疗器械可能导致严重后果。攻击医疗器械会危及患者安全,在某些情况下会造成致命后果。如果网络安全风险未降到最低或进行管理,可能导致患者受到受伤或死亡等伤害,例如,医疗器械出现有意故障或无法使用和治疗延迟。 
  • 联网医疗器械带来了新的机遇,但鉴于全球数据保护法规,也带来了数据隐私的挑战。联网器械存储和传输非常敏感的医疗信息,需要按照欧洲(GDPR)、美国(如CFR 164.312)或英国(DPA18)的法律和规定进行保护。
  • 违反规定可能导致巨额的警戒活动和现场安全行动;负面媒体宣传也可能损害可信度,并造成数百万的监管处罚。

 

监管机构指南

  • 全球监管机构都要求不断强化医疗器械网络安全意识。例如,美国FDA、欧盟委员会和加拿大卫生部都发布了关于如何符合网络安全法规的指南。 这些指南提高了对在医疗器械的整个生命周期内进行漏洞扫描、渗透测试或其他安全测试的必要性的认识。确保医疗器械的安全从设计阶段开始,包括
  • 安全开发生命周期流程、
  • 安全风险管理流程、
  • 测试,以验证和确认 “安全植入”和 “安全风险缓解措施”,以及
  • 安全上市后流程。

验证和确认任务的主要手段包括渗透测试、漏洞扫描和模糊测试、安全功能测试和源代码审查。还可以进行额外测试,确定已知有问题的部件。
查阅 “常见问题解答”,了解最新进展。

我们测试和评估医疗器械网络安全的服务

 ts_mhs_cybersecurity_product_lifecycle

我们测试实验室得到全球团队支持,包含750多名医疗和医疗器械测试专家,能提供全方位的服务,测试和评估您的医疗器械的网络安全。TÜV南德意志集团安全测试根据IEC/TR 60601-4-5认证进行,确保使用最高能力和专业知识进行医疗器械渗透测试。这些服务包括:

 

  • 网络安全培训

    提供培训提高人们对医疗器械网络安全的认识和理解。该培训能够让您了解监管框架中规定的要求,如:

    • 欧洲要求,如MDCG 2019-16
    • 美国食品药品监督管理局的要求,如
      • 美国食品药品监督管理局的质量体系规范
      • 网络安全的上市前管理
      • 网络安全的上市后管理
      • 联网医疗器械的网络安全
    • 中国国家药品监督管理局
    • 针对当地语言(如日语、新加坡语、巴西语韩语)的按需培训。

    此外,还可以根据国际标准提供培训,目的是了解医疗器械中网络安全的实施,如:

    • IEC TR 60601-4-5医疗器械网络安
    • ISO 14971:2019 医疗器械风险管理
    • ISO 62443-3-2 工业自动化安全

  • 概念评估

    概念评估旨在通过评估国际/统一标准、网络安全现状和法规要求,确定网络安全差距,包括:

    • IEC TR 60601-4-5医疗器械网络安全
    • IEC 81001-5-1安全—产品生命周期中的活动
    • ISO 62443-3-2 工业自动化安全
    • MDCG 2019-16 医疗器械网络安全
    • 网络安全的上市前管理
    • 网络安全的上市后管理
    • 联网医疗器械的网络安全

     

  • 漏洞扫描/评估和静态/动态代码分析

    漏洞扫描的目的是识别和检测计算机、网络或应用程序(程序)中的已知弱点。其目的是,一旦制造商发现关键漏洞,就能进行补救。这种方法的好处是弥补漏洞,保持医疗器械的强大安全性。

    这些服务包括:

    • 漏洞扫描(例如,网络扫描、网络应用程序扫描、固件/软件扫描),并在漏洞评估报告中对确定的漏洞进行记录和分级。
    • 静态和动态代码分析,包括带有漏洞分级的专用测试报告
  • 渗透测试和模糊测试

    渗透测试的目的是模拟网络攻击,评估医疗器械/软件的安全状况。其目的是识别人工测试中未发现的弱点。试验报告结果可作为医疗器械网络安全有效性的客观证据(类似于将60601-1报告作为医疗器械安全性的客观证据)。

    服务包括:

    • TÜV南德的渗透测试是根据所有主要框架(如开源安全测试方法(OSSTM)、渗透测试的执行标准(PTES)、信息安全测试评估技术指南(NIST 800-115)、信息系统安全评估框架(ISSAF)和开放式Web应用程序安全项目(OWSAP))的最佳实践进行的。
    • 根据IEC/TR 60601-4-5,考虑到医疗器械的基本安全和基本性能,渗透测试模糊测试在德国(DAkks)的认可委员会认证的医疗器械网络安全下进行。
    • 上述标准中未涵盖的额外测试要求
    • 开发专属于产品的测试方法
    • 评估专属于供应商的安全解决方案

    了解TÜV南德的医疗器械和IVD安全测试(渗透测试)服务

EXPLORE

IEC 81001-5-1 cybersecurity for medical device
白皮书

医疗器械网络安全IEC 81001-5-1标准

了解医疗器械网络安全状况和IEC 81001-5-1的要求,以及TÜV南德意志集团在产品开发活动中支持制造商的方式。

了解更多

查看所有资源

更多

LinkedIn WeChat WeChat

Site Selector