医疗设备网络信息安全标准和实践活动手册来给予一般标准和佳实践活动,以推动医疗设备网络信息安全层面的国际性管控协作。
依据MDCG2019-16手册规定,互联网安全风险管理全过程与器材安全风险管理全过程具备同样的因素,都要纪录在安全风险管理方案中。全过程因素包括网络信息安全风险评估,互联网安全风险管理,网络信息安全风险管控,剩下网络信息安全风险评估和汇报。
当网络信息安全风险性或控制方法很有可能对安全和实效性造成危害时,应将其列入安全风险管理。一样,一切有可能对仪器的安全造成直接影响的安全隐患操纵或考虑到都应包括在网络信息安全风险评估中。互联网安全风险管理务必纳入MDR合乎性评定规定。
网络信息安全系统漏洞也是危害器材安全系数和实效性问题之一,网络安全现状很有可能具备如下所示弱安全系数和/或约束性安全系数:
弱安全性:例如,弱密钥管理很有可能容许故意改动嵌入的心血管设备的实际操作。
约束性安全系数:例如,在紧急状况下,医务人员务必可以不受限的实际操作嵌入的心血管设备,可是在正常的实际操作状况下必须采用强大的安全防范措施。
器材安全隐患剖析应考虑到网络信息安全系统漏洞对器材基本要素的危害。生产商应将网络信息安全剖析列入安全风险管理,还可以给予单独的网络信息安全风险性文本文档。互联网安全风险管理应在技术标准终明确以前开展,后加上网络信息安全防范措施(如数据加密)是无法进行的。
在风险管控全过程中,与数据信息和系统软件网络信息安全有关的风险性必须纳入风险管控流程的范畴中,以防止误会必须独立的环节来管理方法与医疗设备有关的安全隐患。可是对于网络信息安全风险评估选用了相应的办法和规定,即危害模型技术性是一种以结构型方法剖析网络信息安全的体系方式,便于可以从假定的网络攻击的视角鉴别,例举和明确系统漏洞的优先。
在器材的周期内,生产商应搜集有关网络信息安全信息内容,评定有关的网络信息安全风险性,并采用恰当对策清除或降低该类网络安全问题或系统漏洞有关的风险性。这种对策可考虑到按下列优先选择次序开展:
根据互联网安全的设计方案和生产制造,尽量清除或降低网络信息安全风险性。
在恰当的情形下,针对没法解决的风险性采用恰当的保障措施,包含必需的网络信息安全通告。
给予网络信息安全信息内容(警示,防范措施,禁忌),包含有关客户在实际操作自然环境中必须采用什么对策以降低被充分利用的可能的信息内容。
这种对策可包括:
向器材实际操作员工出示有关实际操作自然环境中已鉴别的隐患和有可能的改善对策的信息内容;
迅速修补,例如变更网络配置;
器材软件更新;
第三方软件更新或补丁包。
生产商还应建立一个全过程来搜集与器材网络信息安全有关的发售后信息内容,这一全过程需考虑到:
与器材手机软件立即有关的网络安全问题。
与器材硬件配置/手机软件和器材一起应用的第三方硬件配置/手机软件广告宣传的互联网安全系统漏洞。
危害自然环境中的转变,包含互动实际操作层面。
生产商的发售后管控系统软件必须整理和评定网络安全问题并根据正规的申诉和意见反馈全过程开展汇报。生产商在监控危害情况的变动全过程中,假如监测到明显转变,生产商应可以采用恰当的对策。
网络信息安全认证和确定的具体方式 是检测。测试标准中常见的是网络信息安全漏洞扫描系统
