參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)
8.
整體保全/資安剩餘風險可接受性的評估
此節處理醫療器材整體保全剩餘風險可接受性,遵循保全/資安風險管理計畫規定的準則。
可連網的醫療器材須特別考慮《直接的醫療受益》對應到其連網的《大型網路整體保全》的平衡觀點。若支持醫療受益大於整體保全剩餘風險,且大型網路的保全/資安風險預計可以控制住,則可以判定保全剩餘風險足以接受。否則,整體保全剩餘風險係歸類為不可接受。
凡判定為可接受的整體保全剩餘風險,製造商應決定在隨附文件須納入的必要資訊,以揭露整體保全剩餘風險,須包括特定安裝或配置要求,足供可接受的保全剩餘風險達到器材和大系統的保全規格。
凡是依據保全/資安風險管理計劃規定的風險可接受性準則判定為不可接受的整體保全剩餘風險,製造商可考慮額外的保全/資安風險控制措施(見7.1節),或者修改醫療器材、或者修改器材的預期使用,否則,整體保全剩餘風險仍然不可接受。
整體保全剩餘風險結果應紀錄在保全/資安風險管理檔案。
9.
保全/資安風險管理審查
醫療器材正式商業經銷出去前,製造商應審查保全/資安風險管理計劃執行情況,審查事項如下:
a) 保全/資安風險管理計劃已適當地實施;
b) 整體保全剩餘風險已予接受
c) 具備適宜方法收集和審查從生產及後生產階段來的資訊
d)恰當的領導作用審查及核准。
審查結果應記錄與維持在保全/資安風險管理報告內,保存在保全/資安風險管理檔案。
審查的責任應指派承擔者(具備相應權力),記載在保全/資安風險管理檔案。
10.
生產及後生產活動
10.1生產活動
共通事項
醫療器材製造商應建立、文件化、維持系統,以監督、收集和審查器材生產階段相關的保全性質。建立該系統時即需考慮收集和處理該等資料的適宜方法。
在生產階段,製造商應確保醫療器材的生產方式避免引入額外的保全/資安風險,例如:將惡意軟體、醫療器材的保全金鑰妥協地引入醫療器材,從而影響醫療器材的性能或對預期操作環境構成威脅。
下列各項結果及資料應紀錄在保全/資安風險管理檔案。
收集醫療器材的保全類資訊
l 由支援生產活動的環境基礎架構(如:重要管理活動使用的營運技術、軟體更新、除錯程式碼移除動作、檢查和試驗配置、患者資料處理、協同供應者的資料處理活動)資訊網路保全/資安風險分析得到的資料;
l 從生產活動及監督生產活動得到的資料;
l 從供應鏈得到的資料,包括第三者軟體元件;
l 公開獲得的資料,包括具備公信力的保全來源;
l 與公認現今技術水準相關的資料。
製造商審查保全類相關資訊
l 現今可以識別出以前無法識別的漏洞和威脅事件
l 發現利用現有漏洞的新方法
l 已知威脅事件所產生的估計保全/資安風險不再可接受
l 整體保全剩餘風險已不可接受
l 普遍認可的技術水準已經改變。
上述資訊若涉及資產保全即須採取措施:
醫療器材:製造商審查保全/資安風險管理檔案,以決定應否重新原有評鑑保全/資安風險,或是重新評鑑新的保全/資安風險;若原先的剩餘保全/資安風險不再可以接受,則其衝擊原先實施的保全/資安風險控制措施應予評估,考慮當做修改醫療器材的一個輸入事項;
保全/資安風險管理過程:製造商應評估其衝擊原先實施的保全/資安風險控制活動;評估結果當做修改保全/資安風險管理過程的一個輸入事項;
10.2
後生產活動
共通事項
醫療器材製造商應建立、文件化、維持系統,以監督、識別和處理醫療器材後生產階段相關的保全漏洞及威脅引起的風險。建立該系統時即需考慮收集、溝通和處理該等資料的適宜方法。該監督系統應確保具備管理與醫療器材的多種現場配置相關風險的能力。
製造商應建立根據需要提供保全修補程式和其他安全軟體更新的流程。製造商需要根據其控制的保全/資安風險來決定修補程式需要多快交付。
製造商應有一個過程,以決定醫療器材何時將要邁入《支援結束(EOS)》 和《保證支援(維修)結束 (EOGS)》
階段,並記錄該等變更階段所需安全風險管理活動的計劃。
如果適用,製造商應建立一個過程,當產品接近或已達到生命周期事件(此處指 EOS、EOGS)時提前通知客戶,製造商將安全風險從製造商轉移給客戶。
製造商監督資訊
製造商應定期主動地監督多種資訊來源,關於保全漏洞、(不當)利用、危險及威脅等,如:
a) 公開和私下可用的資訊,例如 來自安全來源的資訊,例如軟件或硬件技術供應商、醫療保健機構、法規主管機構、政府機構以及資訊共享和分析組織;
b) 醫療器材的 SBOM,包括針對新漏洞的第三方軟體元件;
c) 負責醫療器材安裝、使用和維護的人員(例如製造商的支援和退貨處理人員)產生的資訊(例如,包括但不限於投訴);
d)供應鏈產生的資訊;
e)醫療器材的定期安全測試;(由於不斷變化的安全環境,製造商指導的定期安全測試(包括滲透測試)是識別漏洞的關鍵過程;
f) 與公認的技術水平相關的資訊;
g) 從製造商建立的協調漏洞揭露流程報告的資訊 (見ISO 29147) ;
h) 來自獨立安全研究人員的資訊;(安全研究人員可以選擇多種方法,例如:公開披露、提交給製造商協調漏洞揭露計劃,政府緊急應變團隊(例如:美國網路安全與基礎設施安全局)披露他們的調查結果。製造商可以從所有選項中做出合宜的備案;
i) 有關其他製造商的類似器材中已識別漏洞的報告提供的資訊;
j) 交互操作性界面的變更。
識別引起風險的漏洞與威脅
製造商應審查所監督的資訊來源,以識別和偵測出下列事項:
a) 以前未識別到的保全漏洞、漏洞利用、危害和威脅;
b) 可能同時或幾乎同時影響多個連接器材的保全/資安風險;
c) 利用漏洞的新方法;
d) 先前估計的由不再可以接受的已知漏洞引起的保全/資安風險;
e) 先前確定的整體安全剩餘風險的變化;
f) 對公認的現今技術水準的變更。
依照上述識別出來的資訊採取下列措施:
醫療器材:
製造商應評估並決定利用現有保全漏洞(包括相互聯結的安全漏洞)的新方法衝擊效應;
製造商應審查保全/資安風險管理文件,並決定是否需要重新評鑑保全/資安風險和/或評鑑新的保全/資安風險;
l 如果保全剩餘風險不再可以接受,則應評估對先前實施的保全/資安風險控制措施的衝擊,並應將之視為修改醫療器材的輸入;
製造商應在適當的情況下審查和更新威脅模型,以維護醫療器材的安全性和基本性能;
製造商應考慮是否需要對已放入市場的醫療器材採取行動,包括:
l 酌情溝通和啟動降低保全/資安風險所需的設計修改;
l 在適當情況下,透過其協調的漏洞揭露計畫收到的資訊進行溝通;
l 在適當的情況下,由製造商授權的「白名單」(意指尚未受到保全/資安風險或威脅衝擊的器材清單)外部通訊端點進行溝通,該等端點皆源自於係稱醫療器材,並要求在平常使用中足以維持安全性和有效性;
l 溝通並在適當時啟動必要的補償控制措施以降低風險;
l 製造商應將決定和行動記錄在保全/資安風險管理檔案中。
保全/資安風險管理過程:
製造商應評估對先前實施的保全/資安風險管理活動的衝擊;
該評估的結果應輸入供審查保全/資安風險管理過程適用性,包括管理階層指導下的:威脅情報、漏洞監督和漏洞揭露計劃。
管理階層可以針對特定受眾(例如:客戶、患者、其他利害相關者)客製化安全資訊。
對於製造商來說,及時傳達上述資訊以支持各類利害相關者進行有效的保全/資安風險管理非常重要。從製造商的立場而言,為客戶提供與一般技術支援熱線區分開的網路安全聯絡點非常重要,以確保在時間緊迫的情況下方便有效地傳達資訊。
(未完,見續篇)
沒有留言:
張貼留言