歐盟醫療器械CE認證有關網絡安全的指導原則:MDCG2019-16 醫療器械網絡安全指導原則
醫療器械協調工作組(MDCG)前期發布了“醫療器械信息安全指南, 2019年12月”。該指南不具有法律約束力,但公告機構必須遵循。這意味著您作為制造商也需要遵循。不幸的是,該指南并未就如何處理該問題提出明確的框架,而是概述了也可在其他資源中找到的要求和方法,例如:
uISO /IEC 80001-1風險管理在包含醫療器械的IT網絡中的應用
uIEC /TR 80001-2-2風險管理在包含醫療器械的IT網絡中的應用第2-2部分:醫療器械安保需求、風險和控制的披露和溝通指南。
uAAMITIR 57醫療器械安保原則-風險管理
MDCG指南把MDR一般安全和性能要求(GSPR)關聯了起來。介紹了深度防御,良好網絡安全防范 (FDA指導中的基本安全防范)以及網絡安全風險與產品安全風險之間的關系這樣一些概念。
還引入可用性工程與網絡安全之間的聯系:脆弱性被視為合理可預見的濫用的促成因素。
MDCG指南提出了6個最佳實踐,主要使用了ISO 13485和IEC 62304中的設計和維護過程中步驟:
1 管理上的安全
-ISO13485 4.1,用于安全風險管理過程;
-IEC62304 5.1:軟件開發計劃;
-IEC62304 6.1:軟件維護
2 安全要求規范
-IEC62304 5.2:軟件需求分析
3 通過設計確保安全,包括深度防御
-IEC62304 5.3:軟件體系結構;
4安全實施
-IEC62304 5.4:軟件詳細設計;
-IEC62304 5.5:軟件實施和單元驗證;
-以及SOUP管理的正確性
5安全驗證和確認
-IEC62304 5.6:軟件集成測試;
-IEC62304 5.7:軟件系統驗證;
6安全相關問題的管理
-IEC62304 6.2:問題和修改分析;
-IEC62304 9:問題解決
7安全更新管理
-IEC 623046.3:修改實施;
-IEC62304 8.2:變更控制;
8 安全準則
-5.8軟件發布;
-以及軟件文檔,請參閱IEC 82304-1第7節。
指南也提到驗證與確認
安全驗證和確認測試的主要手段還是測試,方法可以包括安全功能測試、模糊測試,漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產品,確定組件與已知問題。
指南也描述了關于說明書,PMS和警戒等內容。
IMDRF就醫療器械網絡安全發布的官方指南——《醫療器械網絡安全原則與實踐》(Principles and Practicesfor Medical DeviceCybersecurity),這個在全球監管協調方面具有重要且特別的意義。