首頁 資訊 難題破解:FDA質(zhì)量體系、上市前提交對醫(yī)療器械網(wǎng)絡(luò)安全的要求

難題破解:FDA質(zhì)量體系、上市前提交對醫(yī)療器械網(wǎng)絡(luò)安全的要求

來源:泰然健康網(wǎng) 時間:2025年09月20日 04:07

近日,美國食品藥品監(jiān)督管理局FDA發(fā)布新版《醫(yī)療器械網(wǎng)絡(luò)安全:質(zhì)量體系考量與上市前申報內(nèi)容》指南

d3cfbfa493ab4e30a6494200ace57d6f

一、醫(yī)療器械網(wǎng)絡(luò)安全的重要影響

網(wǎng)絡(luò)安全是器械安全和質(zhì)量體系法規(guī)的一部分。隨著醫(yī)療器械愈加智能與互聯(lián),網(wǎng)絡(luò)安全問題也正走向臺前,直接影響產(chǎn)品安全與有效性。越來越多的醫(yī)療器械正接入無線網(wǎng)絡(luò)、云平臺與醫(yī)院信息系統(tǒng)(HIS),構(gòu)成復(fù)雜的"醫(yī)療設(shè)備系統(tǒng)"環(huán)境,其中某一個器械的漏洞,可能影響整個臨床鏈條。

近年來多起全球性網(wǎng)絡(luò)安全事件(如WannaCry勒索病毒)導(dǎo)致醫(yī)院系統(tǒng)癱瘓,造成醫(yī)療設(shè)備無法運行,嚴(yán)重者延誤診斷與治療、甚至危及生命。

FDA曾指出:醫(yī)療器械網(wǎng)絡(luò)安全,已不再僅僅是"IT問題",而是醫(yī)療產(chǎn)品安全性的組成部分!

二、指南適用器械及申報路徑

器械:含有軟件、固件或可編程邏輯的器械;不支持網(wǎng)絡(luò)連接功能的器械因可能引發(fā)網(wǎng)絡(luò)安全問題,同樣可能適用本指南。

路徑:510(k)、510(k)豁免、De Novo、PMA 及補充、HDE(人道主義豁免)、IDE(臨床研究豁免)、BLA/IND(涉及生物產(chǎn)品)

三、帶網(wǎng)絡(luò)功能的醫(yī)療器械

1.根據(jù)《食品與藥品法案》第524B條,若器械滿足下列條件之一,即被視為Cyber Device帶網(wǎng)絡(luò)功能的醫(yī)療器械:

·含有經(jīng)過制造商驗證的軟件;

·具有連接互聯(lián)網(wǎng)的功能;

·具備可被網(wǎng)絡(luò)攻擊的技術(shù)特征。

2.Cyber Device 提交510(k)、PMA 或 De Novo 時,必須額外提供:

·網(wǎng)絡(luò)安全維護計劃;

·安全開發(fā)流程說明;

·軟件物料清單SBOM清單;

·所有已知漏洞的分析及風(fēng)險緩解報告。

如未提供上述內(nèi)容將被視為違反法規(guī)、構(gòu)成違法行為。

四、明確"網(wǎng)絡(luò)安全"即"醫(yī)療器械安全"

根據(jù)《21 CFR Part 820 質(zhì)量體系規(guī)范》:軟件設(shè)計必須包含軟件驗證和風(fēng)險分析;

網(wǎng)絡(luò)風(fēng)險應(yīng)被納入設(shè)計控制,貫穿全生命周期(TPLC),推薦采用安全產(chǎn)品開發(fā)框架(SPDF)作為合規(guī)工具。

SPDF 是一套可覆蓋設(shè)計、開發(fā)、發(fā)布、更新與退市各階段的網(wǎng)絡(luò)安全開發(fā)流程,用于減少漏洞數(shù)量與降低風(fēng)險等級。

五、設(shè)計階段必須達成的安全目標(biāo)

FDA提出五大安全目標(biāo),適用于大部分含軟件的器械:

真實性與完整性(Authenticity & Integrity)、訪問授權(quán)(Authorization)、可用性(Availability)、數(shù)據(jù)保密性(Confidentiality)、可更新性(Updatability & Patch ability)。

在上市前申報中,企業(yè)必須提供文檔用于說明:以上目標(biāo)是如何實現(xiàn)的。

六、網(wǎng)絡(luò)安全的評估方式

FDA重點審查內(nèi)容:

1.威脅建模(Threat Modeling)

描述攻擊路徑、潛在威脅與防護機制;涵蓋從供應(yīng)鏈到退市的全周期場景;推薦使用AAMI TIR57、ANSI/AAMI SW96標(biāo)準(zhǔn)。

2.安全風(fēng)險評估

不再僅關(guān)注"概率",關(guān)注"漏洞可被利用程度(Exploitability)";使用CISA已知漏洞列表作為參考;所有殘留風(fēng)險必須在文件中被明確評估并記錄緩解措施。

3.第三方軟件管理、軟件物料清單SBOM

上市前申報文件中必須包含完整的軟件材料清單(SBOM),列明:組件名稱、版本、支持狀態(tài)、終止日期;包括:開源組件、采購模塊、API庫等;若存在漏洞,需逐項說明影響評估與控制措施。

4.互操作性考慮

接入其他設(shè)備、EMR系統(tǒng)或云平臺的功能,必須被納入網(wǎng)絡(luò)安全控制設(shè)計;Bluetooth、Wi-Fi等標(biāo)準(zhǔn)協(xié)議也需予以增強保護。

七、器械退市后需考慮的內(nèi)容

·已上市器械的更新與支持計劃;

·無法修補的漏洞,需評估是否需要重新申報或召回;

·推薦在年度PMA報告中披露器械的網(wǎng)絡(luò)安全情況:

·已修復(fù)漏洞的占比;

·從漏洞識別至修復(fù)的時間;

·補丁部署覆蓋率等。

本文由“健康號”用戶上傳、授權(quán)發(fā)布,以上內(nèi)容(含文字、圖片、視頻)不代表健康界立場。“健康號”系信息發(fā)布平臺,僅提供信息存儲服務(wù),如有轉(zhuǎn)載、侵權(quán)等任何問題,請聯(lián)系健康界(jkh@hmkx.cn)處理。

相關(guān)知識

FDA醫(yī)療器械質(zhì)量體系全解析:確保器械安全與合規(guī)的關(guān)鍵要求
醫(yī)療器械FDA認(rèn)證周期需要多久?網(wǎng)絡(luò)安全對其有多大影響?
ANSI UL醫(yī)療器械網(wǎng)絡(luò)安全標(biāo)準(zhǔn)受到美國FDA官方認(rèn)可。
醫(yī)療器械FDA認(rèn)證
醫(yī)療器械網(wǎng)絡(luò)安全之WIFI安全
醫(yī)療器械網(wǎng)絡(luò)安全:守護患者安全與健康信息
網(wǎng)絡(luò)安全從上市前抓起
FDA發(fā)布最終指南:明確對醫(yī)療器械再制造的監(jiān)管權(quán)(附解讀)
醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則(2022年修訂版) – ReguVerse
醫(yī)療器械網(wǎng)絡(luò)安全

網(wǎng)址: 難題破解:FDA質(zhì)量體系、上市前提交對醫(yī)療器械網(wǎng)絡(luò)安全的要求 http://m.u1s5d6.cn/newsview1816848.html

推薦資訊