創提部落格
希望我們能與您分享和探討成長中的點點滴滴
醫療器械安全最佳實踐
分享到
全球各地對醫療器械安全的擔憂與日俱增。在美國,由於連接設備的數量不斷增加,以及網路攻擊對患者的護理造成的破壞力,導致新的立法正在出臺。
2022年6月8日,美國眾議院通過了H.R.7667號法案,該法案旨在解決醫療器械的網路安全問題,只有幾項除外,該法案旨在闡明什麼應當被認為是“合理的”醫療器械安全。
在這裡,我們將討論醫療器械安全H.R.7667號法案包括哪些內容,以及您可以為此做些什麼準備。
• 什麼是H.R.7667號法案?
• 該法案如何影響醫療器械軟體發展人員?
• 如何準備:FDA網路安全指南
• 如何準備:醫療器械標準和準則
什麼是H.R.7667號法案?
H.R.7667號法案包括針對確保網路醫療器械整個生命週期的網路安全的要求,網路醫療器械的定義如下:
• 包括軟體,比如本身就是軟體或運行在設備中的軟體。
• 具備聯網功能。
• 包含可能易受網路安全威脅攻擊的任何此類技術特徵。
該法案如何影響醫療器械軟體發展人員?
該法案明確規定,醫療器械製造商必須至少做到如下幾點:
• 制定計劃,在合理的時間內適當地監測、識別和處理上市後的網路安全性漏洞,包括協調一致的漏洞披露和程式。
• 設計、開發並維護流程和程式,以確保設備和相關系統的網路安全。
• 在網路設備和相關系統的整個生命週期內提供更新和補丁。
• 在網路設備標籤中提供軟體組成清單。
• 需要遵守H.R.7667號法案的要求,從而證明出於網路安全的目的對設備的安全性和有效性所作的合理的保障。
如何為該法案做準備:醫療器械安全最佳實踐
為了有效地為該醫療器械安全H.R.7667號法案做準備,您應當採取以下最佳實踐。
FDA網路安全指南
FDA網路安全指南概述了如何保持醫療器械的安全並幫助滿足許可要求。該指南在如下方面提供了指導:
• 提供與設計控制相關的文檔,其中必須包括設計驗證、軟體驗證和風險分析的文檔。
• 確保輸入的資料符合所需的規格,並且在傳輸或靜止時無法修改。
• 使用行業接受的最佳實踐,因為這些最佳實踐能夠在醫療器械程式碼執行的同時,維護和驗證程式碼的完整性。
• 設計醫療器械以檢測和回應網路安全風險,包括網路安全更新、補丁和應急方案。
• 實現醫療器械功能,即使醫療器械的網路安全受到威脅,也能保護關鍵功能和資料。
除了上述指南之外,您還必須使用基於風險的開發策略。根據上述指南,醫療器械分為兩類:
• 1類:連接設備,如果它們被破壞,可能會極大地影響患者的健康。這些設備面臨的網路安全威脅風險更高。
• 2類:這些設備存在標準的網路安全風險,包括所有其他不能歸為1類的設備。
無論如何,對於這兩類醫療器械,您都需要完成以下任務:
• 進行全面的風險評估,找出軟體安全性漏洞。
• 瞭解每個漏洞可能對醫療器械和患者產生的潛在影響。
• 處理軟體安全性漏洞。
• 使用設計控制來確保安全性。
• 確立資料完整性需求。
通過遵循基於風險的實踐,您可以在風險出現時更有效地處理風險,而不是在發佈後花費更多的成本修復風險。
有關FDA網路安全指南的更多資訊,請訪問FDA CYBERSECURITY。
醫療器械標準和準則
醫療器械開發在全球範圍內受到高度監管,其中包括幾個關鍵的監管標準:
• ISO 13485是規定醫療器械品質管制要求的監管標準。
• ISO 14971是針對醫療器械的風險管理監管標準。
• FDA法規是滿足醫療器械合規性的美國標準。
• 《歐盟醫療器械法規》 (EU Medical Device Regulation) 是一項歐盟標準,取代了《醫療器械指令》(Medical Devices Directive),後者涵蓋供人使用的醫療器械的臨床調查和銷售。
然而,醫療器械軟體最相關、最基本的國際標準是《IEC 62304:醫療器械軟體——軟體生命週期過程》,適用於醫療器械軟體的開發和維護,可以提供確保安全性的流程、活動和任務。
該標準包括軟體安全分類,以確定需要遵循的安全相關流程。這影響到了整個軟體的開發生命週期。
醫療器械軟體有三種安全級別:
1. A級:不可能對健康造成傷害或損害。
2. B級:可能造成傷害,但不嚴重。
3. C級:可能造成死亡或嚴重的傷害。
符合IEC 62304是必要的,因為IEC 62304可以滿足其他地區標準的要求。例如,FDA接受符合IEC 62304的證明作為監管程式已經完成的證據。
此外,MISRA還經常用於醫療器械嵌入式軟體的開發。這有助於滿足IEC 62304中定義的軟體驗收標準。
靜態分析如何支援醫療器械安全
有效地確保您的醫療器械軟體合規和安全的最簡單的方法之一是使用行業標準化的工具——特別是靜態分析工具。
通過使用靜態分析工具,如Helix QAC或Klocwork,您可以提高軟體品質,加速滿足合規,並確保實現安全性,包括:
• 執行編碼標準和準則,包括IEC 62304, CERT和MISRA。
• 在開發的早期檢測程式碼漏洞、合規問題和違規情況。
• 加速程式碼評審和手動測試工作。
• 生成隨時間推移和跨產品版本的合規性報告。
此外,Helix QAC和Klocwork都通過用於安全關鍵系統的TÜV-SÜD認證,包括IEC 62304,最高可達Software Safety C級。
如果您準備親自體驗Perforce靜態分析工具如何説明確保您的醫療器械軟體是相容和安全的,立刻註冊申請7天的免費試用吧。