2023/03/24
聯網醫療器材產品申請許可時,有哪些網路安全要求?
智慧醫療浪潮下,醫療器材的資安要求日益增加,SGS為您整理出聯網醫材的網路安全測試要求,以及聯網醫材廠商在申請醫材許可證之前,需要提交哪些網路安全方面的文件?每份文件需要包括哪些資訊?
智慧醫療浪潮下,醫療器材的資安要求日益增加,SGS為您整理出聯網醫材的網路安全測試要求,以及聯網醫材廠商在申請醫材許可證之前,需要提交哪些網路安全方面的文件?每份文件需要包括哪些資訊?
哪些醫療器材需要執行網路安全測試?
美國FDA 歸類為Tier 1 - Higher cybersecurity risk的醫材
- 裝置可直接或間接連接其他裝置或網路者
- 且資訊安全可能導致醫療結果受到影響
- Software as Medical Device(SaMD)亦適用
台灣TFDA 建議網路安全涵蓋範圍
- 醫療器材產品之軟體、韌體及具有可程式邏輯裝置(Programmable Logic)者
- Software as Medical Device(SaMD)亦適用
聯網醫材產品申請許可時,美國與台灣的主管單位對醫材網路安全測試要求為何?
美國FDA 建議測試項目包括:
- 弱點掃描
- 滲透測試
台灣TFDA 建議測試項目包括:
- 已知漏洞測試
- 惡意軟體測試
- 異常輸入測試(模糊測試)
- 滲透測試
- 原始碼分析
- 靜態二進位碼與位元組碼分析
聯網醫療器材在台灣申請醫材許可證時,網路安全方面需要準備哪些文件?
參考台灣TFDA上市前審查要求,醫材廠商需要準備六大類文件:
-
設計文件:包括任何界面、通訊途徑、元件(硬體和軟體),以及為緩解與患者傷害有關的網路安全風險的所有設計功能。
-
風險管理文件:建議參考網路安全風險管理標準(AAMI TIR57: 2016,AAMI TIR97: 2019)及ISO 14971: 2019等。
-
軟體物料清單:包括但不限於開源和現成市售軟體元件之清單,該清單透過名稱、來源、版本(Version)和內部版本(Build)來識別每個軟體元件。
-
資訊安全測試文件:查證器材的資訊安全和緩解措施的有效性而進行的所有測試之測試報告。
-
追溯性矩陣:連結資訊安全風險、資安管制措施和測試之追溯性舉證(Traceability Matrix)。
-
說明書及相關文件。
聯網醫材的資安要求,放心交給 SGS
提醒醫材廠商許多文件必須在產品研發過程就逐步準備。無論您的產品是醫療設備裝置、手機/電腦/裝置端應用程式、或是雲端平台,SGS都能協助您執行資訊安全風險評估,並分享我們的經驗。
SGS結合醫材專業與資安能量,專注於Security Risk with Safety Impact。先針對醫材進行Safety & Security 風險交叉分析,再針對可能產生病人危害之資安風險進行測試。專注於醫材軟硬體本身之安全風險,以及相關網路應用之法規議題,契合主管機關思維。
若您有醫材網路安全測試要求,或有任何疑問,歡迎聯絡SGS資安團隊