医疗器械网络安全的上市后管理

Postmarket Management of Cybersecurity in Medical Devices

发布日期: 2016-12-28

官方来源

https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical-devices

INFO

This content has been machine-translated from the English original.

---

官方文件全文

医疗器械的上市后网络安全管理

来源： https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical-devices

发布日期： 2016-12-28

---

本指南代表美国食品药品监督管理局（FDA或机构）对该主题的当前观点。它不赋予任何个人任何权利，并且不适用于FDA或公众。如果您采用替代方法，只要它符合相关法律和法规的要求，就可以使用。要讨论替代方法，请联系负责本指南的FDA工作人员或办公室，如标题页上所示。

I. 简介

美国食品药品监督管理局（FDA）发布此指南，旨在向行业和FDA工作人员告知，该机构对管理上市后的医疗器械网络安全漏洞的建议。除了本指南中包含的具体建议外，制造商应在产品生命周期的各个阶段（包括设计、开发、生产、分销、部署和维护）中，主动考虑网络安全1。 越来越多的医疗器械设计为联网，以促进患者护理。 与其他联网计算机系统一样，联网的医疗器械包含可能容易受到网络安全威胁的软件。 漏洞的利用可能对健康构成风险，通常需要在产品生命周期的整个过程中进行持续维护，以确保充分的保护。 主动应对医疗器械的网络安全风险，可以降低整体的健康风险。

本指南阐明了美国食品药品监督管理局（FDA）的上市后建议，并强调制造商应在管理医疗器械的过程中，监测、识别和解决网络安全漏洞和利用，作为其上市后管理的一部分。本指南建立了一个基于风险的框架，用于确定在针对网络安全漏洞的医疗器械变更时，是否需要向机构报告，并概述了FDA不打算执行21 CFR第806部分规定的报告要求的情况。

21 CFR第806部分要求设备制造商或进口商及时向FDA报告有关设备纠正和移除的特定事项。

然而，制造商采取的，用于解决网络安全漏洞和利用的大多数行动，通常被称为“常规的网络安全更新和补丁”，通常被认为是

“医疗器械”（http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM356190）

D. 网络安全信号

网络安全信号是指任何表明存在、或确认，对医疗设备造成影响或可能造成影响的网络安全漏洞或利用的潜在信息。

网络安全信号可能来自传统的信息来源，如内部调查、上市后监测或投诉，以及以安全为中心的来源，如CERTS（计算机/网络、应急响应/准备团队），例如ICS-CERT 13、ISAO 14、威胁指标和安全研究人员。 这些信号可能在HPH（医疗设备）领域内被识别。 它们也可能来自其他关键基础设施领域（例如国防、金融），但可能对医疗设备的网络安全产生影响。

E. 利用

利用（exploit）是指，威胁（无论是意外还是故意）利用了漏洞或漏洞，从而可能影响医疗器械的安全性或基本功能，或者将医疗器械作为媒介来攻击连接的设备或系统。

F. 患者伤害

“患者伤害”是指对人的身体损伤或健康损害，或对财产或环境的损害。患者伤害被定义为对患者的身体损伤或健康损害，包括死亡。如果设备造成的风险对健康造成影响，可能会导致患者伤害。本指南概述了评估患者伤害风险是否得到充分控制或未得到控制的方法。该评估基于对利用的可能性、利用对设备安全和基本功能的影响，以及如果被利用，患者伤害的严重程度（参见第 VI 处）的评估。 其他危害，例如丢失机密信息，包括保护健康信息（PHI）的泄露，不被认为是“患者伤害”的目的。

13 ICS-CERT - 工业控制系统网络安全应急响应团队 组织（ISAOs）。” 15 ANSI/AAMI/ISO 14971: 2007/(R)2010: 医疗器械 – 医疗器械风险管理应用，第 2.2 条 – 危害的定义。 16 ANSI/AAMI/ISO 14971: 2007/(R)2010: 医疗器械 – 医疗器械风险管理应用，第 2.16 条 – 风险的定义。

尽管如此，美国食品药品监督管理局（FDA）建议制造商将保护此类信息的机密性作为其整体全面的风险管理计划的一部分。虽然保护个人健康信息（PHI）的范围超出了本文的范围，但应注意，根据具体情况，制造商和/或其他实体可能需要根据适用的联邦和州法律，包括《健康信息可携带性和问责法》（HIPAA），在产品生命周期（包括处置）期间保护PHI的机密性、完整性和可用性。 17 仅为了解决机密性丢失问题而对设备所做的更改通常被认为是设备改进。

G. 补救措施

补救措施是指采取的任何行动（或行动），旨在将由医疗设备网络安全漏洞造成的对患者造成伤害的不可控风险降低到可接受的水平。补救措施可能包括完全的解决方案，以从医疗设备中移除网络安全漏洞，或充分减轻风险的补偿控制（例如，通知客户和用户社区，说明用户可以实施的控制）。一个补救措施的例子是，向客户和用户社区发出通知，披露漏洞、对设备的影响、潜在的患者伤害，并提供降低患者伤害风险到可接受和可控水平的策略。如果客户通知没有提供降低患者伤害风险到可接受和可控水平的策略，则该补救措施将被视为不完整。

H. 威胁

威胁是指通过信息系统，未经授权的访问、破坏、披露、修改信息或拒绝服务，可能对设备、组织运营（包括使命、功能、形象或声誉）、组织资产、个人或其他组织产生不利影响的任何情况或事件。18 威胁会利用漏洞，这可能会影响设备的安全性或基本性能。

I. 威胁建模

威胁建模是一种优化网络/应用程序/互联网安全的方法，通过识别目标和漏洞，然后定义预防或

17 美国卫生与人类服务部（HHS）的《民权办公室》负责执行《健康保险可携带性和责任法》（HIPAA）。 《隐私规则》保护由受保护实体或其业务伙伴创建、接收、维护或传输的个人可识别的健康信息；《安全规则》设定电子受保护健康信息安全的国家标准；《数据泄露通知规则》要求受保护实体和业务伙伴在未加密的受保护健康信息泄露后提供通知；以及《患者安全规则》的保密条款，保护用于分析患者安全事件和改善患者安全的个人信息。请访问：http://www.hhs.gov/ocr/privacy/index.html。

减轻对系统的威胁。 19 对于医疗设备，威胁建模可用于通过识别特定产品、产品线或组织供应链中的漏洞和威胁来加强安全性，从而防止对患者造成伤害。

J. 未控制的风险

当由于缺乏适当的补偿控制和风险缓解措施，导致患者受到不可接受的残余风险时，存在未控制的风险。

K. 漏洞

漏洞是指在信息系统、系统安全程序、内部控制、人类行为或实施中存在的弱点，这些弱点可能被威胁利用。

V. 总体原则

FDA 认识到医疗设备网络安全是医疗机构、患者、提供者和医疗设备制造商等利益相关者共同的责任。未能保持网络安全可能导致设备功能受损、医疗或个人数据可用性或完整性丧失，或将其他连接设备或网络暴露于安全威胁中。这反过来可能导致患者患病、受伤或死亡。 有效的网络安全风险管理旨在通过降低设备功能因不充分的网络安全而有意或无意受损的可能性来降低对患者的风险。有效的网络安全风险管理计划应涵盖市场前和市场后生命周期阶段，并从医疗设备的构想到报废，全面解决网络安全问题。建议制造商在开发和实施其全面的网络安全计划时，采用美国国家标准技术研究所（NIST）的网络安全框架（即：识别、保护、检测、响应和恢复；https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf）。关于将 NIST 网络安全框架的五个核心功能与医疗设备中的网络安全管理对齐，在附录中进行了更详细的讨论。

A. 市场前考虑

美国食品药品监督管理局（FDA）发布的《医疗器械网络安全管理中的预先提交内容建议》（http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocu ments/UCM356190.pdf）明确了制造商应采取的建议，以应对网络安全问题。

在医疗器械的设计和开发过程中，应确保能够更有效地降低患者风险，从而提高产品的可靠性和效率。制造商应建立与网络安全相关的设计输入，并作为符合 21 CFR 820.30(g) 要求进行的软件验证和风险分析的一部分，制定网络安全漏洞和管理方法。该方法应适当处理以下要素：

• 识别资产、威胁和漏洞；

• 评估威胁和漏洞对设备功能以及用户/患者的影响；

• 评估潜在威胁发生的可能性以及漏洞被利用的可能性；

• 确定风险等级和合适的风险缓解策略；

• 评估剩余风险和风险接受标准。

B. 市场后注意事项

由于医疗器械的网络安全风险在不断演变，因此仅通过上市前的控制措施无法完全消除风险。因此，制造商必须实施与《质量体系法规》（21 CFR 第 820 部分）相符的全面网络安全风险管理计划和文档，包括但不限于：投诉处理（21 CFR 820.198）、质量审核（21 CFR 820.22）、纠正和预防措施（21 CFR 820.100）、软件验证和风险分析（21 CFR 820.30(g))以及服务（21 CFR 820.200）。

网络安全风险管理计划应侧重于解决可能允许未经授权访问、修改、滥用或阻止使用，以及未经授权使用，从医疗设备向外部接收者存储、访问或传输的信息，从而可能导致患者伤害的漏洞。制造商应及时采取措施来解决已识别的漏洞。此类计划的关键组成部分包括：

• 监测网络安全信息来源，以识别和检测网络安全漏洞和风险。

• 建立健全的软件生命周期流程，包括以下机制：

  • 监测第三方软件组件，在整个产品生命周期内，持续监控新的漏洞；
  • 对用于修复漏洞的软件更新和补丁（包括与标准软件相关的）进行设计验证和验证。

• 识别、评估和检测漏洞的存在及其影响；

• 建立和沟通漏洞识别和处理流程

• 备注：美国食品药品监督管理局（FDA）已认可ISO/IEC 30111:2013：信息技术 – 安全

技术 – 漏洞处理流程；

• 采用威胁建模，明确定义如何通过开发保护、应对和从网络安全风险中恢复的措施，来确保医疗器械的安全性和基本性能。

• 采用协调的漏洞披露政策和实践。美国食品药品监督管理局（FDA）已认可ISO/IEC 29147:2014：信息技术 – 安全技术 –

漏洞披露，这可能对制造商提供有用的资源；

• 采取措施，在漏洞被利用之前，主动识别和解决网络安全风险。

上市后的网络安全信息可能来自各种来源，包括独立的安全研究人员、内部测试、软件或硬件技术的供应商、医疗机构以及信息共享和分析组织。 强烈建议制造商参与一个 ISAO（医疗器械安全信息共享组织），该组织共享对医疗器械的网络安全漏洞和威胁。 在多个领域共享和传播与漏洞和威胁相关的网络安全信息和情报，对于成功地进行上市后的网络安全监控至关重要。 为了管理医疗器械的上市后网络安全风险，一家公司应采用结构化的、系统的风险管理和质量管理体系，符合 21 CFR 第 820 部分的要求。 例如，这样的程序应包括：

• 识别、描述和评估网络安全漏洞的方法。

• 分析、检测和评估威胁来源的方法。 例如：

  • 一种网络安全漏洞可能影响制造商产品组合中的所有医疗器械，具体取决于产品的开发方式；
  • 或者，一种网络安全漏洞可能存在于设备内部（即，在设备的组件中），并且可以在医疗器械制造过程的任何阶段通过供应链引入。

建议作为制造商的网络安全风险管理计划的一部分，制造商应纳入与《改进关键基础设施网络安全框架》（即：识别、保护、检测、响应和恢复；https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurityframework-021214.pdf）相符的元素。 FDA 认识到医疗器械及其周围的网络基础设施无法完全安全。 设计、架构、技术和软件开发环境的选择可能会无意中引入漏洞。 即使存在漏洞，也不一定导致患者受到伤害。 而是，漏洞对医疗器械的安全和基本性能的影响，可能会带来患者受到伤害的风险。 即使看起来目前不存在患者受到伤害的风险，制造商也应对其进行评估，以评估其未来的影响。

C. 维护安全和基本性能

医疗器械的安全或基本性能受到损害可能导致患者受到伤害，并可能需要采取干预措施以防止患者受到伤害。

制造商应作为全面的网络安全风险管理的一部分，定义其设备的安全性、基本性能、如果受到威胁可能造成的患者损害程度，以及风险接受标准。 采取这些步骤，制造商可以对漏洞进行优先级排序，以便进行修复（有关风险评估的更多信息，请参见第 VI 节）。 威胁建模对于理解和评估设备漏洞的可利用性以及对患者可能造成的危害至关重要。 威胁建模还可以用于确定，是否提出的或已实施的修复措施，可以提供保证，即由于网络安全漏洞而对患者造成的危害，可以得到合理控制。 重要的是，可接受的缓解措施将取决于受设备影响的漏洞被利用后可能造成的患者损害程度。 例如，影响温度读数的体温计的网络安全漏洞，可能与影响胰岛素输注泵剂量的网络安全漏洞具有不同的风险，因为患者的损害程度不同。

VI. 医疗器械网络安全风险管理

作为其符合 21 CFR 第 820 部分的风险管理过程的一部分，制造商应在医疗器械的整个生命周期内，建立、记录和维护一个持续的过程，用于识别与医疗器械网络安全相关的危害，估算和评估相关的风险，控制这些风险，并监测控制措施的有效性。 这一过程应包括风险分析、风险评估、风险控制以及纳入生产和生产后信息。 本指南附录中标识的要素应作为制造商的网络安全风险管理计划的一部分，以支持有效的风险管理过程。 制造商应制定一个系统化的过程，以进行风险评估，并确定是否存在影响医疗器械的网络安全漏洞，从而构成可接受或不可接受的风险。 本指南无法描述所有与医疗器械网络安全漏洞相关的危害、相关的风险以及/或控制措施。 此外，本指南也无法描述所有风险被控制或未被控制的场景。 相反，美国食品药品监督管理局（FDA）建议制造商定义和记录其对设备（或设备）的网络安全风险进行客观评估的过程。

如以下所述，建议该过程侧重于评估患者伤害的风险，通过考虑：

1. 网络安全漏洞的可利用性，以及
2. 如果该漏洞被利用，患者可能遭受的损害程度。 这样的分析还应纳入对补偿控制和风险缓解措施的考虑。

A. 评估网络安全漏洞的可利用性

漏洞评估

制造商应建立评估网络安全漏洞可利用性的流程。 在许多情况下，由于诸如：漏洞的复杂性、漏洞的可获得性以及漏洞工具包等因素，估算网络安全漏洞的可利用性非常困难。 在缺乏关于危害发生概率的数据的情况下，传统的医疗器械风险管理方法建议使用“合理的最坏情况估计”或将概率的默认值设置为 1。 尽管这些方法是可接受的，但 FDA 建议制造商应考虑使用网络安全漏洞评估工具或类似的评分系统，用于评估漏洞并确定响应的必要性和紧迫性。

例如，“通用漏洞评分系统”的 3.0 版本，通过纳入评估可利用性的各种因素，提供高、中、低等数值评分： 20

• 攻击途径（物理、局部、相邻、网络）

• 攻击复杂度 (高, 低)

• 所需权限 (无、低、高)

• 用户交互 (无，必需)

• 范围 (已更改, 未更改)

• 隐私影响 (高、低、无)

• 完整性影响 (无, 低, 高)

• 可用性影响 (高、低、无)

• 编码成熟度（高、功能性、概念验证、未验证）

• 纠正级别 (不可用、替代方案、临时解决方案、官方解决方案、未定义)

• 报告置信度 (已确认、合理、未知、未定义)

在使用任何漏洞评分系统（或工具）时，应仔细考虑对构成综合评分的各个因素的权重。 其他可能有助于漏洞分级的资源包括：AAMI TIR57：医疗设备安全——风险管理21、IEC 80001：IT网络中的风险管理应用22、国家漏洞数据库23（NVD）、通用漏洞和暴露24（CVE）、通用弱点枚举25（CWE）、通用弱点评分系统26（CWSS）、通用攻击模式枚举和

27. 有关每个因素的完整描述，请参见“通用漏洞评分系统”，版本 3.0：规范文件（https://www.first.org/cvss/specification-document）。
28. AAMI TIR57：医疗设备安全——风险管理 - 更多信息请参见：http://www.aami.org/productspublications/ProductDetail.aspx?ItemNumber=3729#sthash.CqfSLyu9.dpuf
29. IEC/TR 80001-2-1:2012 IT网络中的医疗设备风险管理应用
30. 国家漏洞数据库（NVD；https://nvd.nist.gov/）。
31. 通用漏洞和暴露（CVE；https://cve.mitre.org/）。
32. 通用弱点枚举（CWE；http://cwe.mitre.org/index.html）。
33. 通用弱点评分系统（CWSS；http://cwe.mitre.org/cwss/cwss_v1.0.1.html）。

分类 34 (CAPEC)、通用配置枚举35 (CCE)、通用平台枚举36 (CPE)。

B. 评估患者伤害的严重程度

制造商还应建立评估患者可能遭受伤害的严重程度的过程，如果存在网络安全漏洞被利用。虽然存在许多可能被接受的方法来进行此类分析，一种方法可能基于 ANSI/AAMI/ISO 14971: 2007/(R)2010《医疗器械——应用风险管理》中描述的定性严重程度等级： 常见术语 可能描述 微小：

不便或暂时的不适 轻微： 导致暂时的损伤或功能障碍，无需专业医疗干预 严重： 导致需要专业医疗干预的损伤或功能障碍 严重：

导致永久性损伤或危及生命 灾难性： 导致患者死亡

C. 评估患者可能遭受的风险

进行网络安全漏洞风险评估的关键目的是评估是否存在患者伤害风险得到控制（可接受）或未得到控制（不可接受）。评估风险可接受性的一个方法是使用包含“可利用性”和“患者伤害严重程度”的组合矩阵，以确定是否存在患者伤害风险。制造商可以进行可利用性和患者伤害严重程度的评估，然后使用此矩阵来评估已识别的网络安全漏洞对患者造成的风险。

对于仍然未得到控制的风险，应实施额外的补救措施。 以下图表是一个示例矩阵，展示了一种评估可利用性和患者伤害之间关系的可能方法。它可以用于评估网络安全漏洞对患者造成的风险，并确定其是否可接受或不可接受。虽然在某些情况下，评估可能会得出明确的结论，即该情况是可接受或不可接受，但在其他情况下，这种结论可能不那么明确。尽管如此，在所有情况下，FDA建议制造商使用建立的过程，该过程针对产品、其安全和基本性能以及具体情况，对漏洞进行二元判断，即漏洞是可接受的还是不可接受的。如果需要，应实施风险缓解措施，包括补偿控制，以将残余风险降低到可接受的水平。

27 常见攻击模式枚举和分类 (CAPEC; http://capec.mitre.org/)。 28 常见配置枚举 (CCE; https://nvd.nist.gov/cce/index.cfm)。 29 常见平台枚举 (CPE; https://nvd.nist.gov/cpe.cfm)。

图 – 患者伤害风险评估。该图展示了可利用性和患者伤害严重程度之间的关系，可用于评估从网络安全漏洞中产生的患者伤害风险。该图可用于将患者伤害风险分为可控和不可控。

VII. 修复和报告网络安全

漏洞 根据前一节中描述的漏洞评估，识别出的漏洞的可利用性及其对患者造成的危害程度，可以帮助确定患者造成的风险，并可分为“可控”（可接受的剩余风险）或“不可控”（不可接受的剩余风险）。在确定如何管理网络安全漏洞时，制造商应将已实施的补偿控制和风险缓解措施纳入其风险评估。 美国食品药品监督管理局（FDA）鼓励制造商对上市设备进行高效、及时和持续的网络安全风险管理。对于网络安全常规更新和补丁，FDA通常不需要对医疗设备软件的变更进行上市前审查以进行批准。30 此外，制造商还应：

• 采用协调的漏洞披露政策和实践，包括确认收到漏洞报告，并向漏洞报告人31、32进行反馈。

30 为了应对被认为是设备设计、组件、制造方法或预期用途的重大变更或修改，需要提交 510(k) 预上市通知（参见 21 CFR 807.81(a)(3)）。 31 ISO/IEC 29147:2014：信息技术 – 安全技术 – 漏洞披露，这可能对制造商提供有用的资源。

• 主动采取良好的网络安全措施，定期重新评估风险，并在可接受的残留风险存在的情况下，积极寻求降低网络安全风险的机会；

• 修复网络安全漏洞，以将患者受到伤害的风险降低到可接受的水平。

• 按照 21 CFR 820.30(g) 的要求，进行适当的软件验证，以确保已实施的补救措施能够有效地降低目标漏洞，同时避免无意地引入其他风险。

• 按照 21 CFR 的要求，正确记录所有成品设备的设计、制造、包装、标签、存储、安装和维护过程中所使用的方法和控制措施。

第 820 部分

• 识别并实施适当的控制措施，以充分降低网络安全漏洞风险，尤其是在新的设备设计控制中。

33 可能无法实现或立即实施。此外，制造商应考虑实施推荐控制所需的知识和专业技能水平。

• 向用户提供关于推荐设备、相应的控制措施以及剩余网络安全风险的相关信息，以便他们能够采取适当的措施来降低风险并就设备使用做出明智的决策。

• 认识到为了加强设备安全而进行的某些修改可能会对其他设备的功能产生重大影响（例如，使用不同的操作系统），并评估变更范围，以确定是否需要额外的上市前或上市后监管措施。

除了上述一般性建议外，以下 VII.A 和 VII.B 节进一步阐明了管理患者伤害的受控和不受控风险的具体建议。34 虽然 FDA 认识到多方利益相关者参与对于充分解决网络安全风险是必要的，但以下受控风险和不受控风险部分提供的示例，阐明了 FDA 对医疗器械制造商的监管期望。 A. 受控的患者伤害风险 当由于漏洞存在足够低的（可接受的）残余患者伤害风险时，即存在受控的风险。 制造商应积极推广良好的网络安全卫生，并在残余风险可接受的情况下，主动降低网络安全风险。以下是针对处理与受控风险相关的漏洞所采取的变更或补偿控制措施的建议：

32 ISO/IEC 30111:2013：信息技术 – 安全技术 – 漏洞处理流程。 34 请注意，制造商和用户设施可能还需从 FDA 以外的其他来源进行报告。

• 仅为了加强网络安全而对设备所做的变更通常被认为是设备增强。

35，可能包括网络安全常规更新和补丁，并且通常不需要按照 21 CFR 第 806 部分进行报告。

• 即使风险已得到控制，制造商可能仍希望采取额外的控制措施。

作为“多层次防御”策略的一部分。通常，这些变更将被视为一种网络安全常规更新或补丁，属于设备增强类型。

• 如果这些更改仅用于解决一个漏洞，而如果该漏洞被利用，可能会导致PHI（受保护健康信息）泄露，通常会被视为一种常规的、针对网络安全的更新或补丁。

• 用于需要定期报告的、在上市前获得批准（PMA）的设备

根据 CFR 814.84，关于网络安全漏洞以及作为网络安全常规更新和补丁的一部分所做的设备变更，应定期（每年）向 FDA 报告。请参阅第八章，了解定期报告中应包含的内容。

以下是与受控风险相关的漏洞及其管理示例：

• 制造商收到用户投诉，称气体血分析仪感染了恶意软件，并担心恶意软件可能篡改设备上的数据。制造商的调查和影响评估证实存在恶意软件，但确认恶意软件不会篡改存储和通过设备的数据。该设备的安全和基本性能不受恶意软件影响，制造商的风险评估确定，由于该漏洞，患者受到伤害的风险得到了控制。制造商向用户告知如何移除恶意软件，并决定制定多层次防御策略；这些更改将被视为网络安全常规更新和补丁，即一种设备增强。

• 研究人员公开披露了针对四年前的商业数据库软件漏洞的利用代码。该漏洞的版本在制造商的安装基础的百分比以及两个独立的产品线（包括多分析化学分析仪）中。制造商确定该漏洞是由于数据库设置配置错误造成的，可能允许未经授权的用户查看数据库中的患者健康信息。该漏洞并未允许未经授权的用户编辑数据库中的数据。因此，制造商确定该漏洞具有可接受且可控的患者伤害风险。制造商通知其客户和用户社区，详细说明了安全配置设置，并记录了该配置设置的网络安全常规更新的有效性。

• 制造商收到美国有关开放、未使用的通信端口的通知。

美国国土安全部工业控制系统-网络安全事件应对团队 (ICS-CERT)。 随后的分析表明，该设备的某个设计特征可以防止未经授权的设备上下载固件。 由于该设备的功能，需要物理访问来降低风险，因此，患者可能受到伤害的风险被认为是“可接受的”。 制造商采取措施进一步增强设备的安全性，包括关闭未使用的通信端口，并向设备用户（例如，用户机构）提供充分的沟通，以方便修补。 如果制造商关闭了开放的通信端口，则此更改将被视为一种网络安全常规更新或补丁，这是一种设备增强。 这种更改不需要根据 21 CFR 第 806 部分进行报告（请参阅“区分医疗设备召回与医疗增强的指导”[http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm418469.pdf] 以获取有关报告要求和设备增强的建议的更多信息）。

• 一家设备制造商收到用户投诉，称最近对设备的安全性软件扫描显示

第三类医疗器械的PC组件显示，该PC已被恶意软件感染。制造商的调查和影响评估结果证实了恶意软件的存在，并且该恶意软件的主要目的是收集互联网浏览信息。制造商还确定，该恶意软件已主动收集浏览信息，但该设备的安全和基本功能不会受到影响。制造商的风险评估确定，由于该漏洞，患者受到伤害的风险得到了控制。由于患者受到伤害的风险得到了控制，制造商可以更新产品，并将其视为一种网络安全常规更新或补丁。在这种情况下，制造商无需根据21 CFR 806.10向FDA报告此软件更新。 由于该设备属于第三类设备，制造商应在符合21 CFR 814.84要求的年度报告中向FDA报告这些变更。

B. 患者安全和基本性能不受控制的风险

当由于风险缓解和补偿控制不足，导致患者受到不可接受的残余伤害时，存在不受控制的风险。在评估风险时，制造商应考虑漏洞的可利用性和如果被利用，患者可能遭受的伤害程度。如果评估患者受到伤害的风险为不受控制，则应采取额外的风险控制措施。 制造商应尽快消除不受控制的风险。以下是针对与不受控制的风险相关的漏洞的变更或补偿控制措施的建议：

• 制造商应修复漏洞，以将患者受到伤害的风险降低到可接受的水平；

• 即使修复漏洞可能不可行或无法立即实施，制造商应识别并实施风险缓解和补偿控制，以充分降低风险；

• 制造商应向客户和用户社区提供有关推荐控制和剩余网络安全风险的相关信息，以便他们能够采取适当措施来降低风险并就设备使用做出明智的决定；

• 制造商必须根据《21 CFR》第806部分报告这些漏洞，除非已在《21 CFR》第803或1004部分中报告。

36. 然而，美国食品药品监督管理局（FDA）不打算执行《21 CFR》第806部分关于在以下情况下，对特定漏洞进行报告的要求：

1. 没有任何已知的与该漏洞相关的严重不良事件或死亡；
2. 在尽快，但最迟在发现该漏洞后30天内，制造商与客户和用户社区沟通，就该漏洞进行说明，确定临时性的缓解措施，并制定一个计划，以将残余风险降低到可接受的水平。 缓解措施不应增加设备的安全和基本性能的风险，超过原始漏洞。制造商必须记录其缓解计划的时间表理由。 客户沟通应至少包括： a. 描述该漏洞，包括基于制造商当前理解的风险评估； b. 声明制造商正在尽最大努力尽快解决患者伤害的风险； c. 描述任何已有的缓解措施； d. 声明制造商正在修复该漏洞，或者提供一种深度防御策略，以降低被利用的可能性和/或伤害的严重程度，并将在未来沟通修复的可用性。
3. 在尽快，但最迟在发现该漏洞后60天内，制造商修复该漏洞，验证更改，并将可部署的修复方案分发给其客户和用户社区，从而将残余风险降低到可接受的水平。 在某些情况下，一个缓解措施可以提供长期解决方案，只要患者伤害的风险能够降低到可接受的水平。 缓解措施不应增加设备的安全和基本性能的风险，超过原始漏洞。

此外，制造商应在最初的60天期后，根据需要与最终用户进行跟进。

4. 制造商积极参与 ISAO（信息共享和威胁分析组织），与该组织分享对医疗器械产生影响的漏洞和威胁，例如 NH-ISAC（见第 IX 节），并向 ISAO 提供客户沟通信息，在收到客户通知后。

• 需将符合年度报告要求的设备（例如，三类设备）的纠正措施纳入年度报告中。

• 制造商应评估设备变更，以确定是否需要提交预上市申请（例如，PMA补充申请）。

40、510(k)等，提交给美国食品药品监督管理局（FDA）；

• 对于符合 21 CFR 814.84 规定的、需要定期报告的 PMA（预先批准）设备，应将与网络安全漏洞相关的信息，以及因这些信息而实施的设备变更和相应的控制措施，以年度报告的形式向 FDA 报告。 参见第八章，了解推荐的年度报告内容。

在缺乏纠正措施的情况下，如果设备存在未控制的患者危害风险，则可能被认为存在合理概率，即使用或接触该产品会导致严重的健康不良后果或死亡。该产品可能被认为违反《美国食品药品监督管理局》（FD&C）法，并可能受到执法或其他措施。

以下是一些必须进行纠正的，与未控制的患者危害风险相关的漏洞示例，以及相应的应对措施：

• 制造商得知存在未使用的通信端口。制造商已收到来自提交者/标识者的漏洞报告，并随后进行分析，确定该设备的设计功能并不能阻止未经授权的固件下载到设备，从而可能危及设备的安全性以及其基本功能。虽然没有报告与该漏洞相关的严重不良事件或死亡，但风险评估结论表明，患者受到伤害的风险是无法控制的。制造商与客户、ISAO（医疗器械安全信息中心）和用户社区就该漏洞进行沟通，识别并实施临时补救措施，制定修复计划，并在发现该漏洞后，在30天内通知用户。此外，在制造商发现该漏洞后60天内，制造商制定更永久的解决方案/修复方案（在本例中，是更新软件以关闭未使用的通信端口），验证更改，将可部署的修复或解决方法分发给其客户，并实施其修复计划的所有其他方面。如果制造商积极作为ISAO的成员参与，并在ISAO内分享该漏洞信息，则FDA不打算执行《21 CFR第806部分》的报告要求。

对于三类设备，制造商会在其定期（年度）向FDA提交的报告中，提交修复方案的摘要。

• 制造商通过研究人员了解到，其第三类医疗器械（例如：植入式除颤器、起搏器等）可能被未经授权的用户重新编程。如果被利用，这种漏洞可能导致永久性损伤、危及生命，甚至死亡。制造商并未意识到该漏洞已被利用，并确定该漏洞与预先设定的密码有关。

风险评估结果表明，该漏洞的可利用性属于中等水平，且患者受到伤害的风险不受控制。制造商通知了相关利益相关方，并在 60 天内分发了经过验证的紧急补丁。制造商不作为 ISAO 的成员积极参与，因此，根据 21 CFR 806.10，制造商向 FDA 报告了这一行为。

• 一种已知的安全漏洞，但未被医疗器械制造商所知，在产品开发过程中被整合到第二类医疗器械中。 在获得批准后，制造商意识到该漏洞的存在，并确定该器械仍然符合其规格，并且未报告任何器械故障或患者受伤。 没有证据表明该已识别的漏洞已被利用。 然而，确定该漏洞引入了一种新的故障模式，影响了该器械的基本性能，并且该器械的设计控制无法减轻风险。 制造商进行了风险评估，并确定，在没有进一步的缓解措施的情况下，患者受到伤害的风险是无法控制的。 由于制造商目前没有软件更新来减轻该漏洞对该器械基本性能的影响，因此，在了解该漏洞后 30 天内，制造商通知其客户、ISAO（医疗器械安全信息中心）和用户社区，告知其有关该网络安全风险，并指示他们将该器械与医院网络断开连接，以防止未经授权的访问。 公司的风险评估结论是，通过这种额外的缓解措施，患者受到伤害的风险得到了控制。 制造商确定，从网络中移除该器械不是一个可行的长期解决方案，并在了解该漏洞后 60 天内，向客户分发补丁。 如果公司是 ISAO 的积极参与成员，则 FDA 不打算执行 21 CFR 第 806 部分关于报告要求的合规性。

• 一家医院报告称，患者因医疗器械未能按照预期功能而受到伤害。制造商的调查确定，该医疗器械的故障是由于其专有软件中存在先前未知的漏洞被利用造成的。制造商的调查结果和影响评估确定，该漏洞间接影响了该设备的安全性以及其基本功能，并且可能导致患者死亡。制造商根据 21 CFR 第 803 部分的要求，提交了报告。制造商还确定，如果该故障再次发生，该设备很可能会导致或导致严重的伤害或死亡；因此，制造商通知其客户和用户社区，开发并验证紧急补丁，并根据 21

按照 CFR 806.10 的要求，向 FDA 报告。

VIII. 推荐纳入 PMA 定期报告的内容

报告 对于符合 21 CFR 814.84 规定的、需要定期报告的 PMA（预先批准）设备，应将与网络安全漏洞、设备变更以及因这些信息而实施的补偿控制相关的信息，以年度报告的形式，向 FDA 报告。

建议为实施的设备变更和补偿控制提供以下信息：

• 简要描述导致变更的漏洞，包括公司如何发现该漏洞；

• 包括公司风险评估的结论摘要，其中明确说明患者受到伤害的风险是可控的还是不可控的；

• 变更描述，包括与先前批准的设备版本的比较；

• 变更的原因；

• 引用其他已根据同一漏洞进行修改的提交/设备；

• 识别与变更原因（例如，MDR

编号、召回编号）相关的事件；

• 包含唯一的设备识别（UDI）

41（如果可用）；

• 如果适用，链接到ICS-CERT的建议或政府或ISAO的警报（https://icscert.us-cert.gov/advisories）；

• 所有分发给客户的通知；

• 如果有，漏洞报告的日期和名称以及向其报告漏洞的ISAO的名称；以及

• 引用任何相关的提交（例如，PMA补充材料42、30天通知、806

报告等），或科学和/或监管依据，以证明该变更不需要提交/报告。

IX. 定义制造商在ISAO中积极参与的条件

制造商在ISAO中的积极参与，可以帮助公司、医疗器械社区和HPH部门，通过主动解决网络安全漏洞并最大限度地减少利用，从而实现及时部署风险控制措施，包括与患者和用户的沟通和协调。

FDA 打算在确定制造商是否是 ISAO 的积极参与者时，考虑以下内容：

1. 制造商是 ISAO 的成员，该 ISAO 共享对医疗设备产生影响的漏洞和威胁；

2. ISAO 拥有关于参与者协议、业务流程、操作程序和隐私保护的文档；

3. 制造商与 ISAO 共享漏洞信息，包括与网络安全漏洞相关的客户沟通；以及

4. 制造商拥有记录，用于评估和响应来自 ISAO 的漏洞和威胁情报信息。这些信息应可追溯到医疗设备风险评估、应对措施和缓解方案。

希望制造商被 FDA 考虑为 ISAO 的积极参与者，建议他们保持客观证据，证明他们符合上述四个标准。

X. 附录：有效的上市后管理要素

网络安全计划

建议将以下要素，符合美国国家标准技术研究所（NIST）框架（即：识别、保护、检测、响应和恢复；https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurityframework-021214.pdf），作为制造商的网络安全风险管理计划的一部分。

A. 识别 i. 确保安全和基本性能 设备的安全性或基本性能的损害可能导致患者受到伤害，并可能需要采取干预措施以防止患者受到伤害。 制造商应在其全面的网络安全风险管理计划中，明确定义其设备的安全性、基本性能、如果受到损害可能导致患者伤害的严重程度，以及风险接受标准。 这一步骤使制造商能够对漏洞进行优先级排序，以便进行修复（有关风险评估的更多信息，请参见第六部分）。 威胁建模对于理解和评估设备漏洞的可利用性以及其对患者可能造成的危害至关重要。 威胁建模还可以用于确定，是否提出的或已实施的修复措施，可以提供合理的保障，以控制因网络安全漏洞而导致的患者伤害的风险。 重要的是，可接受的缓解措施将取决于受设备影响的漏洞可能导致的患者伤害的严重程度。 例如，影响温度读数的医疗设备（如体温计）的网络安全漏洞，可能与影响胰岛素泵剂量的网络安全漏洞具有不同的风险，因为前者可能导致患者受到更大的伤害。

ii. 网络安全信号的识别 制造商有义务分析投诉、退回产品、服务记录和其他质量数据，以识别不符合要求的产品的现有和潜在原因或其他质量问题（21 CFR 820.100）。 制造商应积极识别可能影响其产品的网络安全信号，并与报告这些信号的来源进行沟通。 重要的是，要认识到，信号可能来自医疗设备工作场所熟悉的来源，例如内部调查、上市后监测以及/或投诉。 此外，还应认识到，网络安全信号可能来自以网络安全为中心的来源，例如网络应急响应

响应团队（CERTS）、ISAOs、安全研究人员，或来自其他关键基础设施部门，如国防或金融部门。 无论信息来源，制造商都应建立并实施一个明确、一致且可重复的过程，用于漏洞信息的接收和处理。 FDA 认可了 ISO/IEC 29147:2014，信息技术 - 安全技术

• 漏洞披露和 ISO/IEC 30111:2013：信息技术 - 安全

技术 – 可能对制造商有用的漏洞处理流程。制造商应制定策略，以提高其检测信号的能力（例如，参与医疗器械的ISAO）。制造商还可以通过将检测机制纳入其设备设计和设备功能中，来增强其在市场后对网络安全风险的检测能力，从而提高攻击的可检测性并允许获取可靠的证据。

B. 保护/检测 i. 漏洞的识别和评估 美国食品药品监督管理局（FDA）建议制造商识别和评估已知的漏洞，因为这将为制造商提供信息，以帮助其进行修复活动。在评估漏洞的可利用性时，制造商应考虑以下因素，例如远程可利用性、攻击复杂性、威胁权限、用户所需的操作、漏洞代码的成熟度以及报告的置信度。例如，“通用漏洞评分系统”（CVSS）等评分系统，提供了一种评估可利用性的一致框架，通过量化影响可利用性的因素来量化影响。请参阅第六部分，了解有关漏洞风险评估的更多指导。

ii. 风险分析和威胁建模 美国食品药品监督管理局（FDA）建议制造商进行网络安全风险分析，包括为每个设备进行威胁建模，并定期更新这些分析。风险分析和威胁建模应旨在及时修复漏洞。

威胁建模是一种优化网络/应用程序/互联网安全的过程，通过识别目标和漏洞，然后定义预防或减轻对系统的威胁的对策。威胁建模提供传统的风险管理和失效模式分析范式，以及评估来自主动攻击者/恶意使用的威胁的框架。对于每个漏洞，应生成一份摘要报告，简洁地总结风险分析和威胁建模信息。

由于分析具有循环性，因此信息应可追溯到相关文档。

43 “通用漏洞评分系统”，版本 3.0，评分计算器 (https://www.first.org/cvss/calculator/3.0)。

iii. 威胁源分析 44 美国食品药品监督管理局（FDA）建议制造商分析可能的威胁源。 威胁源被定义为针对有意利用漏洞或可能意外触发漏洞的意图和方法。45 作为风险分析和威胁建模的一部分，威胁源分析为主动攻击带来的风险提供了一个框架。 因此，对威胁源的描述将有助于制造商访问传统失效模式分析方法无法覆盖的风险。 iv. 整合威胁检测能力 医疗设备可能无法检测威胁活动，并且可能依赖于网络监控。 制造商应考虑在设计中加入功能，以建立或增强设备检测和在攻击事件发生时获取具有法证价值的后期市场证据的能力。 这些信息可帮助制造商评估和解决已识别的风险。 v. 对所有设备的冲击评估 美国食品药品监督管理局（FDA）建议制造商建立一个评估网络安全信号的横向（即制造商产品组合中的所有医疗设备）和纵向（即确定设备特定组件是否存在影响）的过程。

一个信号可能识别某个设备中的漏洞，而该漏洞也可能影响其他设备，包括正在开发中的设备或尚未获得批准、上市或销售的设备。 因此，对于制造商来说，进行针对网络安全信号的分析，以确保投入的检测资源具有最大的影响，将是有利的。

C. 保护/应对/恢复 i. 补偿控制评估（检测/响应）

• FDA 建议制造商实施基于设备的功能，即设备设计控制46，作为一种主要机制来降低患者伤害的风险。

制造商应评估并向用户提供补偿控制，从而进一步降低患者伤害的风险。 总体而言，这些努力构成医疗设备网络安全防御体系。 第 VII 节描述了关于

44 美国国家标准与技术研究院，“风险评估指南”，NIST 特别出版物 800-30 修订版 1 (http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf)。 45 美国国家标准与技术研究院，“联邦信息系统和组织的安全和隐私控制”，NIST 特别出版物 800-53，修订版 4，附录 B (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf)。

修复和报告已识别的网络安全漏洞，包括开发、实施和通知用户有关修复的信息。 制造商还应采用协调的漏洞披露政策和实践，包括在指定时间内确认收到漏洞提交者的信息。 47,48 FDA 认可了 ISO/IEC 29147:2014：信息 技术 – 安全技术 – 漏洞披露，这可能对制造商有用的资源。

D. 降低安全和基本性能风险

一旦已评估和确定了上述信息，制造商应确定是否存在由该漏洞对患者造成的危害，以及现有设备功能和/或制造商定义的补偿控制是否能够充分控制这些风险（即，剩余风险水平是可以接受的）。采取的措施应反映问题的严重程度，并与遇到的风险相符。制造商还应包括剩余风险、风险/收益评估以及修复措施引入的风险的评估。 制造商应设计其设备，以确保对修复过程中的固有风险得到适当的控制，包括确保修复措施的充分性和有效性，以及设备设计应包含安全和及时更新的机制。 针对受控风险漏洞所做的更改通常被认为是设备改进，而不是召回。常规的网络安全更新和补丁通常被认为是设备改进的一种形式。

47 美国食品药品监督管理局（FDA）已认可了ISO/IEC 29147:2014：信息技术——安全技术——漏洞披露 48 ISO/IEC 30111:2013：信息技术——安全技术——漏洞处理流程

---

脚注

[^18]: NIST SP 800-53; SP 800-53A; SP 800-27; SP 800-60; SP 800-37; CNSSI-4009。注意：改编自NIST定义（SP 800-53）。

[^33]: 参见21 CFR第820.30(g)条“设计控制”

[^36]: 参见21 CFR 806.10(f)。

[^37]: 参见21 CFR 820.100 纠正和预防措施。

[^38]: 参见21 CFR 7.42 召回策略，用于修复计划的要素

[^39]: 参见21 CFR 7 (b)(3) – 效果检查。

[^40]: 参见 21 CFR 814.39，另请参见“PMA 补充和修订” (http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/HowtoMarketYourDevice/PremarketSubmissio ns/PremarketApprovalPMA/ucm050467.htm) 页面。

[^41]: 参见“唯一设备识别 – UDI” 页面：http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/UniqueDeviceIdentification/ 了解更多信息。

[^42]: 参见 21 CFR 814.39。

[^46]: 参见 21 CFR 820.30(g)。