一. 哪些業者需要遵守《醫療器材網路安全指引》?
- 適用範圍:製造或研發任何與網路安全相關醫療器材之製造業者,包含但不限於:
醫療器材產品其組成包含軟體 (含韌體) 或具有可程式邏輯裝置 (ProgrammableLogic)者。
醫療器材軟體 (包括行動應用程式)。
- 不適用範圍:醫療機構及醫療器材操作人員、維護人員、資訊系統管理及整合者等之網路安全措施。
二. 《醫療器材網路安全指引》執行時機?
醫療器材產品其組成包含軟體 (含韌體) 或具有可程式邏輯裝置 (ProgrammableLogic)者。
醫療器材軟體 (包括行動應用程式)。
- 網路安全管理計畫應同時涵蓋上市前及上市後階段,從產品設計開始直到產品結束生命週期。
- 在面對網路安全威脅時,不論是上市前開發或上市後管理,應事先制定網路安全相關處理程序。
- 對產品安全風險 (Safety Risk) 和網路安全風險 (Cybersecurity Risk) 皆有風險分析與管理機制。
三. 《醫療器材網路安全指引》目的?
- 防止未經授權的存取、修改、誤用或拒用導致病患傷害,或是避免機密資料被未經授權的儲存、存取或轉移至外部接受者。
四. 《醫療器材網路安全指引》需考量的項目?
- 辨識資產 (Asset)、威脅及漏洞
- 評估威脅及漏洞對醫療器材功能性及最終使用者 (End User)、病患之影響性
- 評估威脅及漏洞發生或被攻擊的可能性
- 定義風險層級及適當的風險降低措施
- 評估殘餘風險及風險可接受條件
五. 《醫療器材網路安全》風險管理的原則
- 維持安全與主要效能
- 網路安全訊號 (Cybersecurity Signals) 識別
- 漏洞特徵分析與評估
- 風險分析與威脅建模
- 威脅來源分析
- 產品威脅偵測能力整合
- 所有產品之影響評估
- 補償性控制評估
- 風險減輕措施與殘餘風險評估
六. 《醫療器材網路安全》風險管理計畫中需要有什麼?
- 風險分析與評估方法
- 可接受殘餘風險的鑑別
- 風險確效的方法
- 產品上市後的網路安全監控機制
- 網路安全訊息的收集方式
- 已識別網路威脅和漏洞的定期檢視
- 已識別安全漏洞的揭露政策
- 安全有效性相關的軟體更新程序
七.《醫療器材網路安全指引》執行重點?
- 建立風險評估方式,藉以判斷醫療器材的網路安全漏洞風險是否可接受
- 評估網路安全漏洞可能性,以及可利用的已知漏洞嚴重度
- 確認危害風險是否受到控制 (可接受程度) 或未受控制 (不可接受程度)
- 針對醫療器材網路安全機制進行適當的確效測試 (網路安全測試項目)
- 網路安全相關上市前審查
- 制定上市後網路安全風險管理計畫與文件紀錄
- 紀錄網路安全漏洞資訊與例行性網路安全更新與修補之詳細資訊
- 建立通報流程 (告知客戶、使用者、必要時包含主管機關)
八. 醫療器材上市前的網路安全相關審查文件包含?
- 設計文件 (Design Documentation)
- 風險管理文件 (Risk Management Documentation)
- 資訊安全測試文件 (Security Testing Documentation)
- 追溯性矩陣 (Traceability Matrix)
- 軟體物料清單 (Software Bill of Material, SBOM)
- 說明書及相關文件 (Labelling and Documentation)
顧問大總結
在醫療器材中,對於危害的定義來說,只要是會損害或損壞人類健康、損害財產或環境,都需要進行風險評估;而這裡指的人類健康,除了生理的健康以外也包含了心理上的損傷,因此對於醫療器材資訊的蒐集、管理、保護,未來也會是亟需關注的項目之一,避免發生因資訊保密不確實而造成生理或心理上的損害。
領導力企管提供專業客製化的輔導諮詢,依照不同企業文化與屬性建立適合之管理制度。專業的顧問師群及生動實用的課程內容和豐富的輔導經驗,有效幫助企業改變,成長,進步,提升!
-----
延伸相關醫療系統:
▍ 深度理解醫療器材管理系統 (ISO 13485):
https://isoleader.com.tw/home/iso-coaching-detail/ISO13485
▍ ISO 13485:2016 醫療器材管理系統內稽課程:
https://www.isoleader.com.tw/iso-training-courses/detail/209218
▍ ISO 14971:2019 醫療器材風險管理訓練課程:
https://www.isoleader.com.tw/iso-training-courses/detail/214419
或是更快速方式您可以直接與我們聯繫:點我線上諮詢 / 0800-222007
COMMENTS