FDA医疗装置网络安全准则正式版出炉

美国食品暨药物管理局上周发表了 《医疗装置上市后的网路安全管理准则》 正式版，期望保障医疗装置从早期开发阶段到整个产品生命周期的网路安全。

此一准则阐明了FDA对医疗装置制造商的各种建议，包括制造商应该监控、辨识与修补网路安全漏洞，以作为已上市医疗装置管理的一部份，它建立了一个基于风险的框架，以供制造商用来评估装置因网路安全漏洞而变更时是否应向FDA通报。

基本上，定期的网路安全更新或修补不需要特别通报，但若是修补了可能危及病人健康、甚至造成死亡的严重漏洞则会被要求通报。

FDA紧急整备暨操作主任Suzanne Schwartz说明，现代全球的医疗装置多半连结医院网路或病人家中网路，科技既带来医疗的方便性，也带来可能影响装置效能与功能的网路安全风险。对制造商而言，对抗这些安全威胁的最佳方式就是在整个产品的生命周期嵌入安全考量，从装置的设计到开发，到上市后的监控与修补。

FDA期望医疗装置制造商应可监控与侦测装置上的网路安全漏洞、理解及评估这些漏洞对病患带来的风险、与资安研究人员建立合作程序，并能部署更新或减缓风险。

不过，此一准则并没有强制性，意味着并无罚则，得仰赖医疗装置制造商的自律才行。