?醫療器械網絡安全

FDA、歐盟、國家藥品監督管理局（NMPA）和其他關鍵監管機構已經明確表示，必須在醫療器械的整個生命周期中考慮到網絡安全問題。驗證和確認網絡安全措施的主要手段是測試，其中包括漏洞掃描、模糊測試和滲透測試。以下是有關醫療器械網絡安全的5個常見問題：

1.漏洞掃描、模糊測試和滲透測試沒有發現任何問題，是否說明我的醫療器械是安全的？

不，沒有發現并不表明該器械是安全的。設備有一些漏洞可能也是安全的，因為在特定的時間點，這些漏洞是安全測試的一部分。但請記住，新出現的安全漏洞，或新的攻擊載體，可能會導致軟件的安全狀況迅速惡化。

2.是否有法律規定必須進行漏洞掃描？

不，沒有法律規定必須這樣做。然而，專門的安全指南，如FDA關于醫療器械網絡安全上市前提交內容的指南和歐洲MDCG 2019-16指南以及IEC 81001-5-1等標準，都表明必須進行漏洞掃描。這意味著，你需要有充分的理由才能跳過這個程序。這項要求同樣適用于滲透測試。

3.每次更變更軟件后，我是否必須重復進行漏洞掃描或滲透測試？

您必須先考慮與變更有關的安全測試和回歸測試，這些測試顯示你的變更沒有對您的器械的網絡安全產生負面影響。在許多情況下，應該重復進行漏洞掃描或滲透測試；至少是部分重復。

4.是否可以自行進行漏洞掃描和滲透測試？

是的，如果您在組織內擁有適當的能力，可以自己進行這些測試。盡管如此，多一個人監督器械還是更好的。

5.為什么我應該使用第三方進行網絡安全評估？

第三方評估最重要的是第三方的公正性。這取決于您選擇的第三方；您也可以從知識更淵博的第三方那里尋求幫助。就網絡安全測試而言，應確保第三方的醫療器械特定知識和專業技能，最好是根據醫療器械標準（如IEC60601-4-5）進行認證。由經授權的實驗室進行測試的產品，除了確保基于風險的測試類別協調一致外，還將為行業提供更高層次的保證。"

6.TÜV南德意志集團提供哪些醫療器械網絡安全服務？

網絡安全培訓

提供培訓，以提高人們對醫療器械網絡安全的認識和理解。培訓的目的是闡明監管框架中規定的要求，如：
此外，還可以根據國際標準提供培訓，目的是了解醫療器械中網絡安全的實施，如：

• 歐洲要求，如MDCG 2019-16
• 美國FDA的要求，如
  
  • 美國食品藥品監督管理局的質量體系規范（FDA  QSR）
  • 網絡安全的上市前管理
  • 網絡安全的上市后管理
  • 聯網醫療器械的網絡安全
• 中國國家藥品監督管理局（NMPA）
• 針對當地語言（如日語、新加坡語、巴西語和韓語）的按需培訓。
• IEC TR 60601-4-5醫療器械網絡安全
  
• ISO 14971:2019 醫療器械風險管理
• ISO 62443-3-2 工業自動化安全
  

概念評估

概念評估旨在通過評估國際/統一標準、網絡安全現狀和法規要求，確定網絡安全差距，包括：

• IEC TR 60601-4-5醫療器械網絡安全
  
• IEC 81001-5-1安全—產品生命周期中的活動
  
• ISO 62443-3-2 工業自動化安全
  
• MDCG 2019-16 醫療器械網絡安全
  
• 網絡安全的上市前管理
  
• 網絡安全的上市后管理
  
• 聯網醫療器械的網絡安全
  

漏洞掃描/評估和靜態/動態代碼分析

漏洞掃描的目的是識別和檢測計算機、網絡或應用程序（程序）中的已知弱點。其目的是，一旦制造商發現關鍵漏洞，就能進行補救。這種方法的好處是彌補漏洞，保持醫療器械的強大安全性。

這些服務包括：

• 漏洞掃描（例如，網絡掃描、網絡應用程序掃描、固件/軟件掃描），并在漏洞評估報告中對確定的漏洞進行文件和分級。
• 靜態和動態代碼分析，包括帶有漏洞分級的專用測試報告

滲透測試和模糊測試

滲透測試的目的是模擬網絡攻擊，評估醫療器械/軟件的安全狀況。其目的是識別人工測試中未發現的弱點。試驗報告結果可作為醫療器械網絡安全有效性的客觀證據（類似于將60601-1報告作為醫療器械安全性的客觀證據）。服務包括：

•  TÜV南德的滲透測試是根據所有主要框架（如開源安全測試方法（OSSTM）、滲透測試的執行標準（PTES）、信息安全測試評估技術指南（NIST 800-115）、信息系統安全評估框架（ISSAF）和開放式Web應用程序安全項目（OWSAP））的最佳實踐進行的。
• 根據IEC/TR 60601-4-5，考慮到醫療器械的基本安全和基本性能，滲透測試和模糊測試在DAkkS（德國的認可委員會）認證的醫療器械網絡安全下進行。
  
• 上述標準中未涵蓋的額外測試要求
• 開發專屬于產品的測試方法
• 評估專屬于供應商的安全解決方案