HIPAA(HealthInsurancePortabilityandAccountabilityAct)
健康保险可携带与责任法案
美国HIPAA出台之前,医疗卫生行业针对保护患者健康信息没有通用的要求或安全标准。由于无规可循,医疗服务提供商不能自信地断言病人敏感数据得到了适当保护。但在“健康保险可携带与责任法案”(HIPAA)经联邦政府审议通过之后,医疗服务提供商便有了需要遵循的明确标准和要求,以确保妥善地保存、转移和传输病例和病患信息。
安全规则需要适用于以电子形式接收、传输或存储的可单独识别的健康信息(称为ePHI)包括:
-隐私规则
-交易规则和代码集
-唯一标识符规则(国家提供者标识符)
-执行规则等等
HIPAA的“安全规则”针对其所涉及到的实体规定了保障措施,包括行政管理保障措施(AdministrativeSafeguards)、物理保障措施(PhysicalSafeguards)和技术保障措施(TechnicalSafeguards)。
Cybersecurity信息安全
另外,医疗器械网络安全特性还包括真实性(authenticity)、可核查性(accountability)、抗抵赖(non-repudiation)和可靠性(reliability)等。
见GB/T29246-2012。医疗器械的网络安全应当符合相应法律法规和部门规章的要求。
医疗器械产品的网络安全特性
(一)数据考量(数据类型及数据交换方式)
设备数据:描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息。
存储媒介:通过存储媒介(如光盘、移动硬盘、U盘等)进行电子数据交换,数据储存格式需考虑是否为标准格式(即业内公认标准所规范的格式)。
(二)技术考量
用户访问控制机制应当与医疗器械产品特性相适应,
可采用加密、数字签名、标准协议、校验等技术来保证医疗器械的网络安全。
可采用防火墙、入侵检测和恶意代码防护等技术来保证医疗器械的网络安全。
可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。
各个监管机构对于网络安全的要求。
FDA的要求:
FDA准备和实施了很多举措,具体包括:
2018年10月18日,FDA发布《医疗器械上市前网络安全管理》规定。此份指南性草案向行业提供关于网络安全设备设计、标注以及FDA为可能存在网络安全风险的设备在上市前申报文件中需要体现的建议性内容。
2018年10月,FDA为MITRE的《医疗设备网络安全区域性事件准备与响应手册》提供指导性支持。此份手册描述了准备事务的具体类型,旨在帮助各医疗保健服务组织(简称HDO)更好地为涉及医疗设备的网络安全事件做好准备,并为产品开发人员提供足以解决大规模、影响广泛的安全事件的必要方法,最终避免事件对患者人身安全造成影响。
《医疗器械上市前网络安全管理》GeneralPrinciples一般原则
Addresscybersecurityduringdesign&development在设计和开发过程中解决网络安全问题
Identificationofassets,threats,andvulnerabilities识别资产、威胁和漏洞
Considertype&likelihoodvulnerabilitiesmayresultinpatientharm考虑漏洞的类型和可能性,以及可能导致病人的伤害
Assessthelikelihoodofexploit评估伤害产生的可能性
Assessresidualrisk,riskacceptance评估剩余风险,风险接受
Considerdeviceintendeduseanduseenvironment考虑设备的预期用途和使用环境
CybersecurityFunctions网络安全功能:
Securitycontrolsappropriatefordatainterfaces适合于数据接口的安全控制
Balancesecuritysafeguardsandusability平衡安全保障和可用性
Securitycontrolsappropriateforintended适合于目标用户的安全控制
Securitycontrolsshouldnothinderintendeduseduringemergencysituations安全控制不应妨碍在紧急情况下的预期使用
Detailsecuritycontrolschosenfordevice详细的安全控制选择设备
Justificationforsecuritycontrolschosenornotchosen选择或不选择安全控制的理由
FDA把网络安全风险归为两个类别:
Medicaldevicescapableofconnecting(wirelesslyorhard-wired)toanotherdevice,totheInternetorothernetwork,ortoportablemedia(e.g.USBorCD)aremorevulnerabletocybersecuritythreatsthandevicesthatarenotconnected.
?Tier1“HigherCybersecurityRisk”
AdeviceisaTier1deviceifthefollowingcriteriaaremet:
1)Thedeviceiscapableofconnecting(e.g.,wired,wirelessly)toanothermedicalornon-medicalproduct,ortoanetwork,ortotheInternet;AND
1类是指该设备能够连接(如有线、无线)到另一医疗或非医疗产品、网络或Internet;和
2)Acybersecurityincidentaffectingthedevicecoulddirectlyresultinpatientharmtomultiplepatients.影响设备的网络安全事件能直接导致对多名患者的伤害植入式心律转复除颤器(ICDs)、起搏器、左心室辅助设备(LVADs)、大脑刺激器和神经刺激器、透析设备、输液和胰岛素泵,以及与这些设备交互的支持连接系统,如家庭监测器,以及具有命令和控制功能的系统
?Tier2“StandardCybersecurityRisk”
?AmedicaldeviceforwhichthecriteriaforaTier1devicearenotmet.其它的设备都是2类。
《医疗器械上市后网络安全管理》:FDAPost-MarketGuidance
?Appliestoanymarketedanddistributedmedicaldeviceincluding适用于任何市场销售和分布式医疗设备,包括:
–Medicaldevicesthatcontainsoftware,firmware,orprogrammablelogic
包含软件、固件或可编程逻辑的医疗设备
–Softwarethatisamedicaldevice,includingmobilemedicalapplications医疗设备软件,包括移动医疗应用程序
–Medicaldevicesthatareconsideredpartofaninteroperablesystem被认为是可互操作系统的一部分的医疗设备
–Legacydevices-devicesalreadyonthemarketorinuse.遗留设备-已经上市或正在使用的设备。
?Emphasizesthatmanufacturersshouldmonitor,identify,andaddresscybersecurityvulnerabilitiesandexploitsaspartoftheirpostmarketmanagementofmedicaldevices强调制造商应监控、识别和解决网络安全漏洞和漏洞,作为医疗设备上市后管理的一部分
?Establishesarisk-basedframeworkforassessingwhenchangestomedicaldevicesforcybersecurityvulnerabilitiesrequirereportingtotheAgency建立一个基于风险的框架,用于评估医疗设备的网络安全漏洞何时需要向机构报告
?OutlinescircumstancesinwhichFDAdoesnotintendtoenforcereportingrequirementsunder21CFRpart806.以概述FDA不打算在21CFR第806部分下强制执行报告要求的情况。
?AspartofQSRdesigncontrols,amanufacturermust“establishandmaintainproceduresforvalidatingthedevicesdesign,”which“shallincludesoftwarevalidationandriskanalysis,whereappropriate.”21CFR820.30(g).
?制造商必须“建立和维护验证设备设计的程序”,其中“应包括软件验证和风险分析”
?Aspartofthesoftwarevalidationandriskanalysisrequiredby21CFR820.30(g),softwaredevicemanufacturersmayneedtoestablishacybersecurityvulnerabilityandmanagementapproach
?作为21CFR820.30(g)要求的软件验证和风险分析的一部分,软件设备制造商可能需要建立网络安全漏洞和管理方法
?FDArecommendsthatthisapproachincludeasetofcybersecuritydesigncontrolstoensuremedicaldevicecybersecurityandmaintainmedicaldevicesafetyandeffectiveness.确保医疗设备的网络安全,并保持医疗设备的安全和有效性
–21CFRpart820:QualitySystemRegulation
–21CFRpart820.198:Complainthandling
–21CFRpart820.22:Qualityaudit
–21CFRpart820.100:CAPA
–21CFRpart820.30(g):Softwarevalidationandriskanalysis
–21CFR820.200:Servicing
欧盟要求
指导原则:MDCG2019-16医疗器械网络安全指导原则
医疗器械协调工作组(MDCG)前期发布了“医疗器械信息安全指南,2019年12月”。该指南不具有法律约束力,但公告机构必须遵循。这意味着您作为制造商也需要遵循。不幸的是,该指南并未就如何处理该问题提出明确的框架,而是概述了也可在其他资源中找到的要求和方法,例如:
uISO/IEC80001-1风险管理在包含医疗器械的IT网络中的应用
uIEC/TR80001-2-2风险管理在包含医疗器械的IT网络中的应用第2-2部分:医疗器械安保需求、风险和控制的披露和沟通指南。
uAAMITIR57医疗器械安保原则-风险管理
MDCG指南把MDR一般安全和性能要求(GSPR)关联了起来。介绍了深度防御,良好网络安全防范(FDA指导中的基本安全防范)以及网络安全风险与产品安全风险之间的关系这样一些概念。
还引入可用性工程与网络安全之间的联系:脆弱性被视为合理可预见的滥用的促成因素。
MDCG指南提出了6个最佳实践,主要使用了ISO13485和IEC62304中的设计和维护过程中步骤:
1管理上的安全
-ISO134854.1,用于安全风险管理过程;
-IEC623045.1:软件开发计划;
-IEC623046.1:软件维护
2安全要求规范
-IEC623045.2:软件需求分析
3通过设计确保安全,包括深度防御
-IEC623045.3:软件体系结构;
4安全实施
-IEC623045.4:软件详细设计;
-IEC623045.5:软件实施和单元验证;
-以及SOUP管理的正确性
5安全验证和确认
-IEC623045.6:软件集成测试;
-IEC623045.7:软件系统验证;
-IEC623046.2:问题和修改分析;
-IEC623049:问题解决
7安全更新管理
-IEC623046.3:修改实施;
-IEC623048.2:变更控制;
8安全准则
-5.8软件发布;
-以及软件文档,请参阅IEC82304-1第7节。
指南也提到验证与确认
安全验证和确认测试的主要手段还是测试,方法可以包括安全功能测试、模糊测试,漏洞扫描和渗透测试。额外的安全测试可以通过使用安全的代码分析工具和工具,扫描开放源代码和库中使用的产品,确定组件与已知问题。
指南也描述了关于说明书,PMS和警戒等内容。
中国NMPA要求
目前我们主要还是参考《医疗器械网络安全注册技术审查指导原则》,这个原则适用于医疗器械网络安全,包括具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品,其中网络包括无线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。也适用于采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品,其中存储媒介包括但不限于光盘、移动硬盘和U盘。
通过之前的介绍,相信大家对于医疗器械网络安全的基本概念和各监管机构的要求已经有了初步的认知。接下来,请同小编一起实践探讨准备网络安全文档。
(一)基本考量
网络安全更新(包括自主开发软件和现成软件)根据其对医疗器械的影响程度可分为以下两类:
1.重大网络安全更新:影响到医疗器械的安全性或有效性的网络安全更新;
2.轻微网络安全更新:不影响医疗器械的安全性与有效性的网络安全更新,如常规安全补丁。
(二)网络安全描述文档
1.基本信息
(1)类型:健康数据、设备数据;
(2)功能:电子数据交换(单向、双向)、远程控制(实时、非实时);
(3)用途:如临床应用、设备维护等;
(4)交换方式:网络(无线网络、有线网络)及要求(如传输协议(标准、自定
义)、接口、带宽等),存储媒介(如光盘、移动硬盘、U盘等)及要求(如存储格式(标准、自定义)、容量等);对于专用无线设备(非通用信息技术设备),还应提交符合无线电管理规定的证明材料;
(5)安全软件:描述安全软件(如杀毒软件、防火墙等)的名称、型号规格、完整版本、供应商、运行环境要求;
(6)现成软件:描述现成软件(包括应用软件、系统软件、支持软件)的名称、型号规格、完整版本和供应商。
2.风险管理
提供医疗器械网络安全风险管理的分析报告和总结报告,确保全部剩余风险均是可接受的。
3.验证与确认
提供网络安全测试计划和报告,证明医疗器械产品的网络安全需求(如保密性、完整性、可得性等特性)均已得到满足。同时还应提供网络安全可追溯性分析报告,即追溯网络安全需求规范、设计规范、测试、风险管理的关系表。
对于安全软件,应提供兼容性测试报告。
对于标准传输协议或存储格式,应提供标准符合性证明材料,而对于自定义传输协议或存储格式,应提供完整性测试总结报告。
对于实时远程控制功能,应提供完整性和可得性测试报告。
4.维护计划
描述软件(含现成软件)网络安全更新的维护流程,包括更新确认和用户告知。
(三)常规安全补丁描述文档
提交软件(含现成软件)常规安全补丁的情况说明(补丁描述、影响分析、用户告知计划)、测试计划与报告、新增已知剩余缺陷情况说明(证明新增风险均是可接受的)。