IMDRF的新网络安全指导是什么意思？

由Cynthia Schnedar和Samantha Seakes，Greenleaf Health

在这个互联互通的时代，网络安全对医疗设备领域的所有利益相关方都至关重要。美国的不同联邦机构以及全球各地的机构已经开始通过监管指导和执法行动来解决这一问题。

美国近年来采取了阶梯，以检测网络安全漏洞，并为利益相关者提供建议，以解决任何潜在的患者伤害。特别是，美国食品和药物管理局（FDA）在与医疗器械行业，医疗机关，医疗保健提供者和患者中致力于解决网络安全问题，这一致力作用。

FDA Medtech Cyber​​ Iecurity的工作

2019年11月14日博客文章，平衡患者参与和使用医疗设备网络安全的认识，两个FDA领导人奠定了Vision FDA的装置和放射生命中心（CDRH）正在试图在网络安全方面实现。Amy Abereethy，M.D.，Ph.D.，Phimipal副局长和代理首席信息官员和Suzanne B.Schwartz，M.D.，M.B.A.，M.B.A.，副主任，战略伙伴关系和技术创新办公室，CDRH，写作“[T] HE CDRH网络安全愿景是医疗器械社区采取大胆动作的一个，以将医疗设备从脆性转换为弹性。每个设备都会符合安全基线;每个设备都会很容易更新;和患者会收到及时更新。“

FDA早于2005年公布了关于网络安全的指导文件，但自2014年以来，该机构在释放新的指导方面取得了更多多产。FDA发布关于预载网络安全问题的最终指导2014年10月和2018年发布了指导意见草案医疗器械网络安全管理上市前提交的内容，旨在取代2014年的文件。FDA在2018年的指导草案中指出，“快速发展的形势，以及对威胁及其潜在缓解措施的进一步了解，需要更新方法。”

2016年12月，FDA发表了最终指导医疗设备中的网络安全管理，强调“制造商应该监控，识别和解决网络安全漏洞和利用医疗设备邮票管理的一部分。”

除了指导文件，FDA还发布了几项安全警告和召回，当某一特定医疗设备受到网络安全攻击时通知利益相关者。这些警报还通知涉众应该如何处理已确定的漏洞。FDA还就网络安全最佳做法和潜在漏洞向医疗器械行业发出了主动通知。

虽然FDA一直在积极解决行业网络安全医疗技术问题，但直到最近，网络安全领域还缺乏与FDA在这一主题上的努力相一致的国际指导。然而，现在，国际医疗器械监管机构论坛(IMDRF)朝着启动这一协调进程迈出了重要的一步。

IMDRF指导

2019年10月1日，IMDRF发布了第一份指导文件草案，专门关注医疗设备网络安全，医疗器械网络安全的原则和实践。该文件旨在通过解释所有利益攸关方的基本概念，最佳实践和建议，帮助促进医疗器械安全性的国际监管趋同。该指导引用了包含作为软件存在的软件和设备的医疗设备。它侧重于由于医疗器械安全的影响而患者伤害的可能性，并且不会讨论其他类型的伤害，例如隐私的入侵。

虽然美国FDA在医疗设备网络安全领导中处于活跃状态，但加拿大卫生的卫生已经同样前瞻性思考。因此，它拟合了IMDRF草案，由Suzanne Schwartz来自美国FDA和MARC Lamoureux的Suzanne Schwartz领导的工作组制定的指导。毫不奇怪，新的IMDRF草案指导与美国和加拿大的法规紧密一致。

IMDRF指南草案的一个主要重点是帮助定义每个利益攸关方群体在帮助支持主动网络安全方面可以发挥的作用。该指南不仅讨论了医疗设备制造商的作用，还讨论了医疗保健组织、临床医生、患者、护理人员、消费者、监管机构和信息共享实体的作用。它建议这些利益相关者“采用基于风险的方法来设计和开发具有适当网络安全保护的医疗设备;将设备用于预期用途可能产生的风险降至最低;并确保关键设备的安全性和有效性的维护和连续性。”

该指南在三个主要部分提供了利益相关者角色和网络安全考虑因素：一般原则;医疗器械制造商上市前的考虑;和医疗器械安全的市场后考虑因素。

一般原则指出在设备的整个产品生命周期(TPLC)中，评估与网络安全威胁和漏洞相关的风险的重要性。该指南指出，“风险管理应应用于整个产品生命周期(TPLC)，其中在设计、制造、测试和上市后监控活动中评估和减轻网络安全风险。”它还概述了制造商应采取的作为其风险管理过程一部分的建议行动，如识别漏洞，评估相关风险，将其控制到可接受的水平，并监控控制的有效性。

该指南概述的其他一般原则包括利益相关者在设备网络安全方面的共同责任，利益相关者之间信息共享的重要性，识别、保护、检测、响应和恢复的能力，以及全球协调。

尽管该指南强调了整个TPLC风险评估的重要性，但它补充说，制造商必须解决关键问题前市场考虑因素在设备开发期间。在产品上市后，采用特定设计元素和控制在产品开发期间的网络安全将有助于减少潜在的威胁和漏洞。该指南概述了制造商的几个设计原则，包括安全通信，数据机密性，数据完整性，用户访问，软件维护，硬件或物理设计以及可靠性和可用性。

预先市场部分中概述的其他主题包括风险管理，安全测试和开发后市场管理策略。该指南还向制造商提供通过标签解决网络安全漏洞的制造商的建议，例如为最终用户提供软件材料（SBOM）。

注意，FDA 2018草案指导建议制造商提供了一个网络材料账单（CBOM）包括软件和硬件。但是，FDA受到行业的反对，即重点应该是软件，其中最大的漏洞存在。仅在IMDRF引导中纳入SBOM被解释为FDA将改变其自身的指导，而不是CBOM的信号。最后，该节注意到制造商必须解决与网络安全漏洞相关的监管提交要求，并参考本主题的其他国际指导文件。

最后，指导概述草案上市后注意事项对于所有利益相关者群体，帮助产品维护一个可接受的风险概况，识别维护步骤和在识别新威胁和产品受到损害时要采取的行动。该文档为医疗保健提供商、患者和制造商在预期使用环境中操作设备提供了最佳实践，例如确保充分的用户培训。

该指南还讨论了信息共享方法，以提高利益攸关方之间的透明度，以及协调漏洞披露（CVD）。最后，该节讨论了每个利益相关者小组应在响应网络安全漏洞时所需的步骤，例如与利益相关者，修复行动和事件响应的沟通。

总体而言，IMDRF草案指导是创造全球融合的最佳实践和考虑因素的重要阶段，以解决有可能导致患者伤害的网络安全风险。该文件的公众意见截止日期为2019年12月2日。

这是什么意思？

一般而言，越来越多的指导文件发表就本主题发表，以及监管机构的行为，符合医疗器械网络安全的重要性。正如IMDRF指导中所述，所有利益相关者都在识别和解决网络安全漏洞中发挥着关键作用，以防止患者伤害。

值得注意的是，在IMDRF公布其指导草案的同一天，FDA发布了一份安全通信迫切/ 11广泛使用的第三方软件组件中的网络安全漏洞可能会在使用某些医疗设备期间引入风险。安全警报警告11漏洞 - 配音“紧急/ 11” - 这可能会引入某些医疗设备和医疗组织的风险，增加7月份发布的一份报告由美国国土安全部中的网络安全和基础设施安全机构。每FDA，漏洞存在于IPNet中，是可能影响医疗设备目前使用的多个操作系统的第三方软件组件。

FDA指出，目前没有意识到任何与这些漏洞相关的确认不良事件。尽管如此，FDA警告的时间仍然是需要对该领域的利益攸关方继续保持警惕和指导的重要例子。紧急/ 11安全通信是有关网络安全漏洞的九个安全通信之一FDA自2013年以来发布。

在这个空间中的增加可能意味着更多的指导即将到来。预计未来的FDA指南将与IMDRF指导指导一致，包括修订目前关于网络安全指南的预先预订。IMDRF草案的指导也将根据利益攸关方评论更新，本组织可以在更具体的网络安全主题上创建其他指导。其他国际监管机构也可能会开始开发自己的网络安全指导文件，以及利益攸关方希望其他监管机构将选择与IMDRF指导保持一致。

全球监管机构认识到，他们无法单独解决医疗器械安全性，并且在医疗保健生态系统上与利益相关者的合作努力是建立预防和减轻网络安全攻击的保护。在网络安全要求中实现全球对齐是朝向这一结束的重要一步，使新的IMDRF指导了确保患者安全的重要工具。

关于作者

辛西娅Schnedar是Greenleaf健康的监管遵从性的执行副总裁。她是FDA CDED符合要求办公室的主任。在她的时间在FDA期间，她通过确保公司遵守联邦标准来保护美国公众免受不安全和无效的药品免受不安全和无效的药品的努力。在她众多职责中，施南达建议了FDA专员，CDER主任和其他高级FDA官员就重大执法问题。施南达在司法部花了两十多年，在那里她专注于合规和执法问题，并担任代理督察总裁。她赢得了一个b.a.从新墨西哥大学和德克萨斯大学法学院。你可以与她联系在linkedin上。

萨曼莎eakes.是Greenleaf健康的监管事务高级经理。她专注于开发通信和宣传战略，进行研究，为客户提供监管洞察力。她最近从波士顿大学获得了她的硕士学位（MPH）。在完成她的MPH之前，Samantha获得了来自波士顿大学的心理学艺术学士学位，她毕业的汇总奖项。你可以联系她sam.eakes@greenleafhealth.com或者可以与她联系在linkedin上。