12月28日,2016,CDRH宣布最终指南的出版“医疗设备网络安全的市场后管理。”在一个独立岗位,我们在1月22日报道,本指导文件德赢真人视讯的2016年草案。最终指南提供了FDA关于医疗器械制造商评估和修复网络安全漏洞的基于风险的框架的建议。指南还概述了机构打算就要求行使强制裁量权的情况。21 C.F.R.的S第806部分报告与网络安全漏洞有关的行动,作为设备更正和删除。

我们强调了最终指导文件不同于早期草案版本的主要方式:德赢真人视讯

  • 指导的适用性.最终指南澄清了该文件也适用于移动医疗应用,被视为“可互操作系统”和“遗留设备”一部分的医疗设备(,已经在使用或上市的设备)。此外,该指南明确指出,该文件不打算在装置已经或可能已经导致或导致联邦食品第519节所要求的死亡或重伤时,向FDA提供报告指南,药物,以及《化妆品法》(FDCA)和21 C.F.R.第803部分(医疗器械报告条例)。
  • “患者伤害”取代“基本临床表现”。FDA删除了“基本临床表现”的定义,并引入了“患者伤害”的定义。该机构称,“患者伤害”是“患者的身体伤害或健康损害”。包括死亡。“不是将网络安全漏洞作为对设备基本临床性能的妥协,最后的指导重点是脆弱性对患者造成伤害的风险。
    • “病人伤害”的定义不包括机密信息的丢失,包括危害受保护的健康信息(phi)。根据指导意见,主要为解决机密信息丢失而对设备进行的更改通常被视为设备增强。
    • 该机构确实建议制造商考虑将保护phi的机密性作为其全面风险管理计划的一部分。
  • 报告应对网络安全漏洞的行动。如指南所述,当制造商为解决网络安全漏洞和漏洞而进行“设备增强”时,FDA不需要提前通知或第806部分报告。该机构将这些行动称为“网络安全例行更新和补丁”。对于一小部分行动,FDA将要求医疗器械制造商在此类行为“对健康构成风险”时通知机构。最终指南概述了如何评估患者伤害风险是否得到充分控制或控制。这种分析是基于以下评估:(1)利用可能性,(2)剥削对设备安全和基本性能的影响;(三)受人剥削的严重程度。此外,食品和药物管理局澄清了食品和药物管理局不打算执行第806部分对具有不可控制风险的特定漏洞的报告要求的情况。当满足以下条件时,食品和药品管理局不会强制执行这些要求:
    • 没有已知的与脆弱性相关的严重不良事件或死亡。
    • 尽快但不迟于获悉漏洞后30天,制造商与其客户和用户社区就漏洞进行沟通,确定临时补偿控制,制定调解方案。制造商必须记录其补救计划的时间表依据。客户沟通应该,至少:(1)描述脆弱性,包括基于制造商当前理解的影响评估;(2)说明制造商正在尽可能迅速地解决患者伤害风险;(3)描述补偿控制,如果有的话;(4)说明制造商正在努力修复漏洞,或提供纵深防御策略,以降低利用的可能性和/或伤害的严重性,并将就将来修复的可用性进行沟通。
    • 尽快但不迟于获悉脆弱性后60天,制造商修复了漏洞,验证更改,并将可部署修复程序分发给客户和用户社区,使剩余风险降到可接受的水平。制造商应根据需要与最终用户跟进。
    • 制造商作为信息共享分析组织(isao)的成员积极参与,并在通知其客户后向isao提供任何客户通信。
  • 新的网络安全风险管理计划组成部分.除了指导草案中概述的网络安全风险管理计划的关键组成部分外,德赢真人视讯FDA添加了另一种成分,维护强大的软件生命周期过程,包括以下机制:(1)在设备的整个产品生命周期中监控第三方软件组件的新漏洞,(2)对用于修复漏洞的软件更新和补丁进行设计验证和验证,包括那些与现成软件相关的。
  • 其他推荐的脆弱性评估工具.在其指导草案中德赢真人视讯,FDA建议制造商考虑使用网络安全脆弱性评估工具或类似的评分系统来评估脆弱性,并确定响应的必要性和紧迫性。FDA注意到一个这样的工具,“常见漏洞评分系统”,3.0版。在最终指南中,该机构概述了可能有助于对脆弱性进行分类的其他资源,包括AAMI TIR57和IEC 80001。
  • 披露政策.最终指南指出,制造商应采取协调一致的漏洞披露政策和做法,包括确认收到了向漏洞提交者提交的初始漏洞报告。
  • 控制风险的“纵深防御”策略.该机构提供了与受控风险及其管理相关的漏洞的其他示例,包括制定“纵深防御”战略。制造商可能希望部署额外的控制措施作为该战略的一部分,即使风险得到控制。FDA认识到,为增强设备安全性所做的一些更改可能也会显著影响其他设备的功能,制造商将评估变更范围,以确定额外的上市前或上市后监管措施是否适当。
  • “积极参与国际安全援助组织。”在指南的新章节中,FDA概述了该机构在确定制造商是否是国际安全援助组织的积极参与者时打算考虑的标准:(1)制造商是国际安全援助组织的成员,该组织具有影响医疗器械的脆弱性和威胁;(2)国际安全援助组织已记录了与参与方协议有关的政策,业务流程,操作程序,以及隐私保护;(3)制造商与ISAO共享漏洞信息,包括与网络安全漏洞有关的客户沟通;(4)制造商已经记录了评估和应对从国际安全援助组织收到的脆弱性和威胁情报信息的过程。FDA建议制造商保留客观证据,证明符合这四个标准。