随着公众对医疗器械中无线、互联网、便携式媒体和“医疗器械相关健康信息”交换等功能的需求日益增加，网络安全的威胁也在增加，为了应对这个情况，美国食品和药品监督管理局（FDA）发布了一份名为“医疗器械的网络安全：质量体系考虑因素和上市前提交的2个内容”的新的指南草案（指南）。新的指南适用于包含软件或可编程逻辑器件的医疗器械和可以作为医疗器械的软件（SaMD）。具体而言，该指南对在医疗器械上市前应提交给FDA的网络安全相关的信息给出了建议。但是，这份指南也同样适用于不需要上市前授权的I类或510（K）类豁免医疗器械。FDA的指南草案分为三个主要部分：

（1）网络安全的一般原则;

（2）使用“安全产品开发框架”（Secure Product Development Framework, SPDF）管理网络安全;

（3）提高有网络安全风险的器械的可用性的标签建议。

一般原则

FDA的指南草案概述了医疗器械网络安全的四项一般原则。首先，FDA强调了“网络安全是医疗器械安全和质量体系法规的一部分”。在这里，FDA引用了其质量体系法规，该法规根据21C.F.R.820编纂而成，其中包括“与用于人类使用的医疗器械的设计、制造、包装、标签、储存、安装和维修中使用的方法、设施和控制装置相关的要求。”因此，例如，存在网络安全风险的医疗器械的制造商可能需要“在适当的情况下建立网络安全风险管理和验证流程”。该指南还建议实施SPDF，FDA将其定义为“一组有助于减少产品漏洞数量和严重性的流程”。此外，SPDF旨在包罗万象，包括“产品生命周期的所有方面，包括产品的开发、发布、支持和报废”，实施 SPDF是医疗器械制造商遵守 FDA质量体系法规(QSR)的一种方式。

第二，FDA的指南建议制造商“为安全而设计”。为此，FDA将评估特定医疗器械上市前提交的材料中设备的安全系统这一部分多大程度描述了以下目标：（1）真实性;（2）授权;（3）可用性;（4）机密性;（5）安全性和及时更新性以及“可修补性”。值得注意的是，FDA没有明确描述这些安全元素中的每一个的具体要求。

第三，该指南阐明了FDA对“透明度”的思考。FDA建议上市前提交的信息应包含网络安全信息“例如将设备融入到使用环境中所必需的信息”以及用户维护设备网络安全所需要的其他信息。换句话说，制造商必须通过有效的标签使设备指令对用户“透明”。因此，建议医疗器械为用户提供包含“网络安全控制”和“潜在风险”等足够的信息。

该指南讨论的最后一个一般原则与“提交文档”有关，FDA建议医疗器械制造商提交与产品类型相关的信息。例如，一个未连接到任何较大系统且风险较低的简单设备（例如温度计）可能不需要像连接到较大网络的类似产品一样提交那么多的信息。也就是说，FDA敦促制造商认识到，根据联邦食品、药品和化妆品法案（FD&C），如果设备的标签“没有达到要求的使用说明”，或 “如果按照标签中推荐或建议的方法使用设备，会对健康造成危害”,因为其未能提供足够的网络安全控制，这可能会导致FDA认为企业的产品标签有问题（misbranded)。

使用SPDF管理网络安全风险

需要明确的是，公司不需要实施SPDF来履行医疗器械质量体系法规规定的义务。FDA声明实施其他框架可能也就足够了；例如，ANSI/ISA 62443-4-1：2018 工业自动化和控制系统的安全第 4-1 部分：产品安全开发生命周期要求。但是，对于希望实施SPDF的制造商，FDA敦促它们需要包含以下三个组成部分：（1）安全风险管理；（2）安全架构；（3）网络安全测试。

首先，FDA是知道“没有设备是完全安全的。”因此，为了充分探究特定设备可能带来的网络安全风险，制造商应该“在设备运行的更大系统的背景下”分析设备。因此，制造商应根据质量体系法规的要求，在实施产品设计，产品流程验证以及纠正或预防措施时，把安全风险管理列进去。

其次，FDA建议SPDF在安全架构层面识别网络安全风险。FDA将“安全架构”定义为包含“系统以及进出系统的所有端到端连接”。因此，FDA建议制造商制定包括“便于全面解决网络安全问题的设备安全架构的设计流程，设计要求和验收”的标准计划和程序。

最后，指南草案描述了“网络安全测试”。根据21C.F.R.820.30（f），制造商必须建立和维护检验特定设备设计的程序。此类检验过程必须能检验设备的设计输出是否与其设计输入相对应。因此，在适当的情况下，具有网络安全风险的医疗器械制造商应将检验和验证设备网络安全设计输入和输出的测试列为医疗器械的一部分。

标签建议

该指南的最后一部分包括了关于具有网络安全风险的医疗器械的标签要求的信息。医疗器械制造商在设计标签时，应考虑通过标签传达给用户正确使用设备的方法及如何有效管理网络安全风险等信息。所有可能转移给用户的风险都应通过可用性测试进行检验，以“确保用户能够采取适当的措施来减少这些风险”。FDA的指南草案提供了15条关键信息的详细列表，为了告知用户安全风险，这15条信息应包含在标签中。

结论

为了帮助那些医疗器械存在网络安全风险的制造商们生产安全有效的医疗器械，FDA提供了大量的信息。为了符合FDA的质量体系法规，新指南就医疗器械上市前提交的信息类型提供了必要的说明。该指南还提供了一个非常有价值的附录，其中包含了如上文所述的对安全控制的描述和实现安全系统体系架构的具体建议。除了FDA新指南中包含的信息外，制造商们还可以参考FDA的“医疗器械上市后网络安全管理（Post-market Management of Cybersecurity in Medical Devices)”，“包含 OTS软件的网络医疗设备的网络安全(Cybersecurity for Networked Medical Devices Containing Off-the -Shelf(OTS) Sofeware)”和“关于医疗器械所含软件上市前提交内容的指南(Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices)”这些指导文件。

Benjamin L. England & Associates和FDAImports团队是专业的FDA代理团队，在有效和成功地钻研FDA的要求和系统方面有悠久的历史，在帮助企业FDA药品工厂注册、医疗器械出口美国和解除FDA自动扣留等方面有丰富的经验，如果您的公司是具有网络安全风险的医疗器械的制造商，在评估FDA指南草案时需要帮助，或者希望就本次指南草案向FDA评论，欢迎联系我们。