附錄F 資訊保全有關的風險指引
F.1 綜述
ISO 14971:2019中描述的風險管理過程可應用於與醫療器材資訊保全相關的危害和風險。為避免任何誤解,是否需要單獨的過程來管理與醫療器材資訊保全相關的風險,在ISO
14971:2019的範圍內特別提及與資料和系統資訊保全相關的風險。此處並不排除適用特定標準的可能性,在各標準中規定資訊保全的評估和控制風險的特定方法和要求。
違反資料和系統資訊保全可能會導致傷害,例如:資料遺失、不受控制的資料訪視、診斷資訊的損壞或遺失,或導致醫療器材失效的軟體損壞。
該文件中的資訊保全包括網路安全以及資料和系統資訊保全。
註1:此文係引用ISO/TR 24971:2020附錄F內容。
F.2 資訊保全風險管理中使用的術語
資訊保全風險管理通常使用與 ISO 14971:2019
不同的術語。然而,資訊保全風險管理中使用的術語與ISO 14971:2019中使用的術語之間存在對應關係。以下定義的術語源自IEC指引120。其他定義,例如AAMI TIR 57中的定義也用於資訊保全風險管理。
— 資訊保全 security:經由建立和維持保護措施而實現的狀態,該等措施係確保不受惡意行為或影響侵犯的狀態(參見 IEC 指引 120:2018中的 3.13),其中惡意行為或影響可能是有意或無意的。
註:在 AAMI TIR 57:2016 的 2.6 和 IEC 80001-1:2010 的 2.5 中,資訊保全之定義為一種醫療器材的運行狀態,醫療器材的資訊資產(資料和系統)受到合理保護,免於降低其機密性、完整性和可獲得性。由此可見,資訊保全側重於可能導致風險的惡意行為,即能促成風險事件。並且資訊保全被認為是一種不受侵犯的狀態,即免於不可接受的風險狀態(類似於ISO 14971:2019中的3.26的安全)。
— 威脅threat:當存在可能破壞資訊保全並造成傷害的情況、能力、行動或事件時,存在危害資訊保全的可能性(參見 IEC 指引 120:2018中的
3.16)。威脅對應於可能利用漏洞導致危險情況的事件或一系列事件(參見ISO 14971:2019中的3.5)。
— 漏洞/弱點Vulnerability:系統設計、實施或操作和管理中的缺陷或弱點,可被利用來危害系統的資訊保全策略(參見 IEC 指引 120:2018中的 3.18)。漏洞可以被視為某種類型的事件或情況(參見ISO 14971:2019中的表C.2)。
— 保密性 Confidentiality::資訊不會提供給或揭露給未經授權的個人、實體或過程的性質(參見 IEC 指引 120:2018中的 3.6)。
— 完整性 Integrity::準確性和完整性的屬性(參見 IEC 指引 120:2018中的 3.9)。
— 可獲得性 Availability:被授權實體可根據需要存取和使用的屬性(參見 IEC 指引 120:2018中的 3.5)。
危險、事件順序、危險情況和與資訊保全有關的傷害之間的關係如圖 F.1 所示。
圖F.1: 危險、危險情況、危害和安全術語之間的關係
F.3 ISO 14971與安全的關係
一個常見的誤解是ISO 14971:2019僅適用於人們的健康,而忽略了傷害的定義包括對財產和環境的損害。此種誤解經常在資訊保全討論中被發現,其中假設ISO 14971:2019僅限於與患者和使用者相關的風險,並且不會涵蓋與資訊保全相關的風險。
應該注意的是,IEC指引120中的資訊保全定義與安全定義不在同一層次。安全與風險管理的最終結果有關,而資訊保全則著眼於惡意行為或事件對系統特徵和性能的效應。
ISO 14971:2019中的傷害定義適用於人員,財產和環境,可能會有一些重疊。例如:對電子健康記錄的損壞(財產損失)還可能導致錯誤的診斷,從而導致患者受傷(對人的損害)。值得注意的是,安全風險管理的範圍往往較廣。表F.1列出了可能導致傷害的幾個安全隱患示例。
表F.1—危險實例、事件順序、危險情況和安全隱患情況下的危害
|
Hazard危險
|
事件的順序
|
危險狀況 |
傷害 |
|
資料完整性喪失
|
1)不必開放的網路埠的漏洞遭到利用。 2)非授權的登入修改輸液幫浦的劑量設定資料。 |
不正確的劑量資料導致輸液無法按預期輸送 |
健康情況惡化。 死亡。 |
|
資料完整性喪失 |
1) 不必開放的網路埠的漏洞遭到利用。 2) 非授權的登入修改患者資料或診斷結果。 |
修改資料導致不正確的臨床決策或程序,或缺乏治療。 |
健康情況惡化。 不必要的手術。 |
|
資料可獲得性喪失 |
1)不必開放的網路埠的漏洞遭到利用。 2) DDoS 攻擊或勒索軟體降低或終止醫療器材的性能。 |
延遲治療。 無法診斷。 |
醫療器材功能喪失。健康情況惡化。
|
|
資料保密性喪失 |
1)不必開放的網路埠的漏洞遭到利用。 2)揭露個人健康資訊。 |
拒絕受理(疾病)保險導致缺乏治療。
|
心理壓力。 健康情況惡化。 |
此外,在區分此等領域時,有時會使用術語「安全風險管理」和「資訊保全風險管理」。該文件遵循ISO/IEC指引63的建議,該指引指出「安全」一詞不應當作形容詞。應該記住,在使用ISO 14971架構管理與資訊保全相關的風險時,資訊保全風險管理的目標也是為了實現安全(即免於不可接受的風險)。
需要注意的是,IEC指引120中對資訊保全的定義包括無意行為,例如:非惡意攻擊而係意外發佈的個人健康資訊,並且還須評估與正常使用相關的安全隱患,例如向未經授權的人員顯示個人健康資訊。
F.4 非惡意攻擊風險管理的特點
資訊保全風險管理遵循與其他風險管理類似的過程,該過程步驟包括建立風險可接受性準則、進行風險分析、風險評估、風險控制、總體剩餘風險評估等。有關所用資料源、分析工具和技術以及確證的具體詳細資訊可能會有所不同,但整個過程是相同的。
ISO 14971:2019要求評估風險控制措施產生的風險。資訊保全控制措施可能會帶來新的風險,反之亦然。例如:資訊保全控制措施要求使用者在使用前輸入密碼,但在救生醫療器材(例如:自動體外除顫器)上,由於忘記密碼而導致的延遲可能是不可接受的,因此宜考慮不同的選擇方案。此種關係如圖F.2所示。
與資訊保全相關的危險管理可能需要不同於其他危險管理的方法和途徑,類似於風險控制以可用性或可靠性相關的方法差異。
圖F.2: 資訊保全風險控制措施與其他風險控制措施的可能交互作用
嚴重程度之定義為「危險可能後果的衡量程度」(參見ISO 14971:2019中的3.27)。嚴重程度通常以一個人健康情況的退化程度來表示。低嚴重程度可以定義為暫時不適或不需要醫療干預的輕度損傷,中嚴重程度定義為需要醫療干預的傷害,高嚴重程度定義為需要立即醫療干預並可能導致永久性傷害甚至死亡的傷害。在資訊保全風險管理中,資訊保全的資料系統保持高度的保密性、完整性和可獲得性。因此,與資訊保全系統損壞有關的傷害嚴重程度可以考慮這三個因素的喪失或退化的後果。
傷害通常是對人健康的傷害或損害,與基本安全(例如:電擊)或醫療器材的預期用途(例如:X光射線成像期間的輻射曝露)有關。在資訊保全風險管理中,傷害通常是對財產的損害,並且與醫療器材本身的資訊(例如:個人健康資訊的揭露,軟體或資料的修改或損壞),或連接至其它器材上可供運用的資訊(例如:失去連接、洽詢信用卡資訊)有關。
傷害發生的機率通常是設計和製造、材料選擇、公差、設計餘裕度等的函數。通常可以高水準的可信度預測此等因素。在資訊保全風險管理中,發生機率通常是動機、財務受益以及機會的函數,例如:已知的漏洞。此等因素不容易估計。此外,一旦漏洞資訊發佈在網際網路上,漏洞被利用的機率(可能性)可能會迅速從「很少」變為「每次」。
F.5 優先考慮保密性、完整性和可獲得性
在評估與資訊保全相關的風險時,製造商確保安全優先順序(保密性、完整性和可獲得性)適切考慮醫療器材的預期用途。對於某些應用程序,資訊的完整性備受關注,完整性的喪失可能導致患者的病歷發生變化(例如:藥物訂單或醫療資料/圖像的變化)。在其他情況下,失去保密性可能更為重要,因為揭露個人健康資訊可能會造成勒索。
失去保密性的另一個示例是設計特徵未加密的情況(靜態資料或傳輸中的資料)。對此等功能進行逆向工程可能會危及醫療器材的操作,從而導致患者受傷。醫療器材的可獲得性喪失可能導致診斷延遲或治療延遲。特別是對於支援生命或挽救生命的醫療器材,可獲得性的喪失或有效性的降低對人們的健康可能是最重要的。此等例子表明,與資訊保全相關的風險可能會影響患者的健康,具體情況仍須取決於醫療器材的預期用途。
(本篇竟)
沒有留言:
張貼留言