FDA医疗器械网络安全：质量体系考量和上市前申报内容

FDA发布的《医疗器械网络安全：质量体系考量和上市前申报内容》指南为医疗设备制造商提供了与网络安全相关的有效建议，遵循指南中的通用原则能对设备的安全性和有效性产生积极影响。下面我们就来了解一下通用原则的大概内容。

一、网络安全是设备安全与质量体系监管的一部分

医疗设备制造商必须建立并遵循质量体系，以帮助确保其产品始终符合适用的要求和规格。

FDA鼓励制造商采用安全产品开发框架（SPDF），有助于识别并减少产品中漏洞的数量和严重程度，有助于符合QS法规及网络安全要求。

二、安全性设计

FDA打算基于一系列因素评估设备的网络安全状况，包括但不限于设备在整个设备架构中提供和实现以下安全目标的能力。

安全目标：

· 真实性

信息、硬件或软件具备真实可信且能够被验证的特性；确信消息内容源自预期方，且在传输或存储过程中未被修改。

· 完整性

数据、信息和软件准确、完整且未被不当或恶意修改的特性。

· 授权

授予系统实体访问系统资源的权利或许可。

· 可用性

数据、信息和信息系统能够以预期的方式及时被访问和使用的特性（即保证在需要时信息是可用的）。

· 保密性

数据、信息或系统架构仅能被授权人员和实体在授权时间、以授权方式访问的特性，借此保障数据与系统安全。

· 安全且及时的可更新性与可打补丁性

固件、软件和设备应能够安全及时地更新，以在整个产品生命周期内保持安全性和有效性。

实现安全目标的决定因素（不限于）：

· 设备的预期用途、适用范围及合理可预见的误操作

· 电子数据接口的存在情况与功能

· 预期及实际使用环境

· 网络安全漏洞所带来的风险

· 漏洞的可利用性

· 漏洞被利用对患者造成伤害的风险

打赏