medical device cyber security

醫療器械和體外診斷儀器網絡安全

醫療器械檢測是將創新設計變成可靠適銷產品過程中的關鍵環節。

醫療器械檢測是將創新設計變成可靠適銷產品過程中的關鍵環節。

為何醫療器械和體外診斷儀器網絡安全測試如此重要?

出于監管、道德和財務方面的原因,必須考慮并確保醫療器械、IVD及其配件的網絡安全。例如:

  • 遵守監管要求是進入美國、歐盟、中國、澳大利亞和英國等所有主要地區醫療器械市場的先決條件。其中包括《歐洲醫療器械法規》(MDR)和《體外診斷醫療器械法規》(IVDR),法規附件一“一般安全和性能要求”下闡明了若干網絡安全要求。另一方面,美國食品和藥物管理局(FDA)提供指導文件,如 “醫療器械上市后網絡安全管理”,規定了如何履行相關網絡安全要求。

cybersecurity_product_lifecycle

  • 未經授權訪問醫療器械可能導致嚴重后果。攻擊醫療器械會危及患者安全,在某些情況下會造成致命后果。如果網絡安全風險未降到最低或進行管理,可能導致患者受到受傷或死亡等傷害,例如,醫療器械出現有意故障或無法使用和治療延遲。 
  • 聯網醫療器械帶來了新的機遇,但鑒于全球數據保護法規,也帶來了數據隱私的挑戰。聯網器械存儲和傳輸非常敏感的醫療信息,需要按照歐洲(GDPR)、美國(如CFR 164.312)或英國(DPA18)的法律和規定進行保護。
  • 違反規定可能導致巨額的警戒活動和現場安全行動;負面媒體宣傳也可能損害可信度,并造成數百萬的監管處罰。

 

監管機構指南

  • 全球監管機構都要求不斷強化醫療器械網絡安全意識。例如,美國FDA、歐盟委員會和加拿大衛生部都發布了關于如何符合網絡安全法規的指南。 這些指南提高了對在醫療器械的整個生命周期內進行漏洞掃描、滲透測試或其他安全測試的必要性的認識。確保醫療器械的安全從設計階段開始,包括
  • 安全開發生命周期流程、
  • 安全風險管理流程、
  • 測試,以驗證和確認 “安全植入”和 “安全風險緩解措施”,以及
  • 安全上市后流程。

驗證和確認任務的主要手段包括滲透測試、漏洞掃描和模糊測試、安全功能測試和源代碼審查。還可以進行額外測試,確定已知有問題的部件。
查閱 “常見問題解答”,了解最新進展。

我們測試和評估醫療器械網絡安全的服務

 ts_mhs_cybersecurity_product_lifecycle

我們測試實驗室得到全球團隊支持,包含750多名醫療和醫療器械測試專家,能提供全方位的服務,測試和評估您的醫療器械的網絡安全。TÜV南德意志集團安全測試根據IEC/TR 60601-4-5認證進行,確保使用最高能力和專業知識進行醫療器械滲透測試。這些服務包括:

 

  • ?網絡安全培訓

    提供培訓提高人們對醫療器械網絡安全的認識和理解。該培訓能夠讓您了解監管框架中規定的要求,如:

    • 歐洲要求,如MDCG 2019-16
    • 美國食品藥品監督管理局的要求,如
      • 美國食品藥品監督管理局的質量體系規范
      • 網絡安全的上市前管理
      • 網絡安全的上市后管理
      • 聯網醫療器械的網絡安全
    • 中國國家藥品監督管理局
    • 針對當地語言(如日語、新加坡語、巴西語韓語)的按需培訓。

    此外,還可以根據國際標準提供培訓,目的是了解醫療器械中網絡安全的實施,如:

    • IEC TR 60601-4-5醫療器械網絡安
    • ISO 14971:2019 醫療器械風險管理
    • ISO 62443-3-2 工業自動化安全

  • ?概念評估

    概念評估旨在通過評估國際/統一標準、網絡安全現狀和法規要求,確定網絡安全差距,包括:

    • IEC TR 60601-4-5醫療器械網絡安全
    • IEC 81001-5-1安全—產品生命周期中的活動
    • ISO 62443-3-2 工業自動化安全
    • MDCG 2019-16 醫療器械網絡安全
    • 網絡安全的上市前管理
    • 網絡安全的上市后管理
    • 聯網醫療器械的網絡安全

     

  • ?漏洞掃描/評估和靜態/動態代碼分析

    仗顾漏洞掃描的目的是識別和檢測計算機、網絡或應用程序(程序)中的已知弱點。其目的是,一旦制造商發現關鍵漏洞,就能進行補救。這種方法的好處是彌補漏洞,保持醫療器械的強大安全性。

    這些服務包括:

    • 漏洞掃描(例如,網絡掃描、網絡應用程序掃描、固件/軟件掃描),并在漏洞評估報告中對確定的漏洞進行記錄和分級。
    • 靜態和動態代碼分析,包括帶有漏洞分級的專用測試報告
  • ?滲透測試和模糊測試

    惧趾滲透測試的目的是模擬網絡攻擊,評估醫療器械/軟件的安全狀況。其目的是識別人工測試中未發現的弱點。試驗報告結果可作為醫療器械網絡安全有效性的客觀證據(類似于將60601-1報告作為醫療器械安全性的客觀證據)。

    服務包括:

    • TÜV南德的滲透測試登徐是根據所有主要框架(如開源安全測試方法(OSSTM)、滲透測試的執行標準(PTES)、信息安全測試評估技術指南(NIST 800-115)、信息系統安全評估框架(ISSAF)和開放式Web應用程序安全項目(OWSAP))的最佳實踐進行的。
    • 根據IEC/TR 60601-4-5,考慮到醫療器械的基本安全和基本性能,滲透測試模糊測試在德國(DAkks)的認可委員會認證的醫療器械網絡安全下進行。
    • 上述標準中未涵蓋的額外測試要求
    • 開發專屬于產品的測試方法
    • 評估專屬于供應商的安全解決方案

EXPLORE

IEC 81001-5-1 cybersecurity for medical device
白皮書

?醫療器械網絡安全IEC 81001-5-1標準

?了解醫療器械網絡安全狀況和IEC 81001-5-1的要求,以及TÜ贾纠V南德意志集團在產品開發活動中支持制造商的方式。

了解更多

查看所有資源

更多

WeChat WeChat

Site Selector

Global

Americas

Europe

Middle East and Africa