2018年 12月 18日
EMERGO BY UL关键点摘要:
加拿大卫生部的新指南将为加拿大的器械上市前审查设立网络安全要求和考量因素,这类似于美国和韩国监管机构制定的政策。
医疗器械许可证(MDL)申请人将必须向加拿大卫生部提交与网络安全相关的信息以证明“由软件组成或含有软件”的器械的安全性,指南草案对此提出了要求,并建议制造商采取措施来降低网络风险和减少漏洞,例如实施UL 2900网络安全测试标准。
加拿大卫生部新指南中的高级网络安全建议包括:
Emergo by UL在温哥华的高级质量评估/法规事务顾问Ken Pilgrim表示,对于想在加拿大以及制定了类似的网络安全要求的其他司法管辖区获得市场准入的医疗器械制造商来说,新指南具有非常重要的价值。
“我们很高兴看到加拿大参与医疗器械网络安全标准的制定,这份草案文件的协商过程应该有助于加拿大医疗器械制造商满足加拿大卫生部的网络安全要求,而网络安全要求是许可程序的一部分,”Pilgrim说道。
“新指南应该还有助于制造商在全球范围内遵守要求,以便在美国和韩国等其他司法管辖区进行注册。”
加拿大卫生部的指南将监测、评估和降低网络安全风险的责任置于制造商身上;根据指南,更广泛的网络安全责任必须由医疗器械公司以及监管机构、最终用户和网络管理者来分担。
加拿大卫生部建议采用基于美国国家标准与技术研究院(NIST)的关键基础设施网络安全改善框架(1.0版)的网络安全风险管理方法,以及包含安全设计、风险管理、验证和确认测试的网络策略,并制定计划来持续监测和应对新出现的风险和威胁。
首先,加拿大卫生部建议制造商尽早在其产品生命周期和支持网络安全和安全相关因素(如可用性)的设计决策中纳入网络安全考量因素,包括何时评估和做出设计决策。
在制造商的器械设计阶段,除了网络安全设计输入,该指南认为值得考量的因素包括:与所连接的其他设备和系统的安全通信、数据安全和加密、验证器械用户身份的访问控制,以及软件维护问题。
作为器械生命周期内全面风险管理程序的一部分,制造商应当采用ISO 14971风险管理原则和具有以下功能的网络安全组件:
然而,该指南还对可能会给器械安全性或有效性造成负面影响的网络安全风险管理程序发出了警告: “在医疗器械的风险管理过程中,制造商还应当考虑将会降低器械有效性、对临床操作造成负面影响或导致诊断或治疗错误的网络安全风险,”加拿大卫生部表示。
加拿大监管机构还提出了网络安全相关标准方面的建议,制造商应当采取这些标准来强化器械的安全性:
第三,根据该指南,加拿大卫生部建议根据器械设计规范和要求验证和确认所有的网络安全风险控制过程。
加拿大卫生部还建议制造商实施UL 2900-1:2017和 UL 2900-2-1:2018网络安全测试标准来支持这些工作。 该指南针对制造商的软件验证和确认过程列出的特定测试类型包括:
“作为上市后管理的一部分,制造商必须主动监测、识别和解决缺陷和漏洞,这是因为医疗器械的网络安全风险在不断发展,”加拿大卫生部在该指南中提出警告。 为此,加拿大卫生部建议制造商清楚地展示监测和应对新兴网络威胁的计划和努力,特别是针对上市后许可证申请中的高风险III类和IV类医疗器械。
根据指南中的建议,加拿大卫生部提议将网络安全相关信息纳入MDL上市前申请;申请人应当提供含有安全设计、风险控制、验证和确认测试以及持续监测和应对计划的文件。
MDL申请指南所确定的网络安全相关的通用数据元素包括: