醫療器材網路資安風險管理概述（十之八）

（見前篇）

參見標準：ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

C.4 選擇性的報告章節

此外，若需要時，可選擇性補充到報告內容的以下章節為宜：

l   採用案例：

n   須視專案及資安風險報告的預期用途，而在報告中陳述與資安風險相關的採用案例。具體言之，採用此等案例，係提供威脅建模的細節與生態系統範圍，供評估所需的資安風險，可看做是重要事項。最重要者，採用此等案例須促使理解專案內部潛在的資安風險來源。在識別資安風險嚴重性與衝擊的量化效應時，所採用的案例也很有幫助。

核准矩陣

l   係按照風險增大程度、所需涉及之管理階層、及主題專業知識等，因風險接受程度不同而促成簽署的要求階層。

參考的設計、策略、指導及標準等

l   作為基本參考文件，在風險摘要文件中，列出各種內部及外部文件，供做基礎資安應用。

私密性風險

l   隱私合規雖然是極為重要的議題與風險，但通常不在本附錄的範圍內；然而，資料保護、資料完整性及其他相關安全風險仍應被視為安全風險，且在適當範圍內。根據前述章節中對安全風險的評估及本報告的預期用途，明確將相關安全風險與隱私風險連結的章節，可能必要或不必要。

安全性風險

l   本節將討論被識別出可能對安全造成影響的安全風險，並被轉交至安全風險管理流程進行分流與回應。雖然底層安全漏洞仍保留於此安全風險文件中，但安全風險評估結果則保留在安全風險評估文件中（例如失效模式與影響分析—— FMEA、危害分析等）。

l   相對地，也必須確保可能存在安全風險的安全風險被適當識別並評估其安全風險。任何此類風險都應在本節中記錄並討論。

定義

或許可以新增一個章節，列出報告內容相關的獨特定義及定義的參考來源。

C.5資安漏洞與資安風險管制的屬性

與風險管理報告類似，建議以支持解決方案在整個生命周期中使用與維護的方式，捕捉資安漏洞及資安風險控制/緩解措施。雖然威脅也是資安風險架構中須考慮的重要面向，但假設此等項目會被保存在獨立的威脅建模地點中。為了讓各種漏洞都能全面地檢視與分析，本節將針對每個漏洞列出威脅情境，但威脅模型須為主要的真實來源。為達成此項工作，任何尚未被納入原始威脅建模活動的新識別出來的威脅，須加入威脅模型產物中，以供檢視及分析。從該威脅模型來源，個別威脅會連結到本節中的漏洞與控制措施。

針對每個已識別的漏洞，建議採用以下各項屬性：

漏洞識別號碼：

l   唯一識別碼以引述漏洞。若適當時，可能會使用共通漏洞與曝露（CVE，Common Vulnerability Exposure 係一種公開已知弱點的編號與資料庫）。

註：CVE 是什麼?

l   CVE 是一個由 MITRE 管理、各國單位共同維護的公開清單，每一則弱點都有唯一的 CVE-ID（例如 CVE-2024-12345）。​

l   它只提供「標準化的弱點描述與基本資訊」，而不直接給你完整技術細節與 exploit code，那些通常在 NVD 或廠商公告裡補充。

l   CVE是一個「公開已知弱點的編號與資料庫」，用來標示並追蹤軟體與硬體的已知資安弱點。 在醫療器材網路安全情境下，CVE 是把「技術弱點」轉成「可評估、可溝通的風險項目」的標準語言，便於業者將之納入 EN ISO 14971 / MDCG 2019-16 的風險管理流程裡，採取對應措施以降低或排除風險或潛在威脅。

漏洞描述：

l   提供具體的特定漏洞或情境描述（若出現事件序列）。

漏洞最初出現的日期或版本識別編碼；

l   提供該漏洞首次被發現的日期或版本。

根漏洞或相關共通弱點列舉（CWE Common Weakness Enumeration，係一種編碼方式）：

l   如果可能，請提供 CWE 識別碼，或描述該漏洞的「根漏洞」。例如，「弱式授權碼」可能是一個潛在的根漏洞，係指因為密碼太短造成的漏洞。

註：CWE是什麼?

l   CWE 是由 MITRE 維護的分類表，列出數百種常見軟體／硬體漏洞類型，例如硬編碼密碼（CWE-798）、缺少授權檢查、緩衝區溢位等。​

l   一個實際的漏洞（CVE）通常可以追溯到一個或多個 CWE 類別，也就是「這個漏洞是因為哪一種設計／實作錯誤造成的」。

l   CWE可以理解為「導致資安漏洞的通用設計／實作缺陷清單」，是把「程式或設計錯誤」系統化分類的國際共通語言，業者採用之後可以幫助在設計階段就把未來可能變成 CVE 的漏洞盡量消滅掉。 

由漏洞所引發的威脅情境

l   描述一個或多個可能利用該漏洞的威脅情境，或在適當情況下參考已記錄的威脅模型中的威脅。若使用識別號碼以區分不同威脅，宜於使用此等識別碼。

與漏洞相關的系統元件、子系統或資產：

l   表示系統中因為該漏洞而受衝擊的任何資源或資源群組。

l   須識別每個資源或資源集合的版本，以便在漏洞已被解決的版本中提供可追溯性。

既有的安全風險控管/緩解/補償控制：

l   指出既有的安全風險控制或緩解措施，以消除、控制或緩解已識別出來的漏洞。

緩解前的風險量化價值：

l   透過可重現的流程量化漏洞的風險。例如，將 CVSS 與 MITRE 的醫療器材 CVSS 評分準則結合使用，或是開放網路應用安全計畫（OWASP）或國際藥品與醫療器材隱私聯盟的風險評分準則。

新的安全風險控管/緩解/補償控制：

l   為消除、控制或減輕已識別的漏洞而新增的控制措施或緩解措施。若本節之控制/緩解措施以識別號碼標出，則宜使用該識別號碼。在此宜使用標準化的資安風險控制識別碼，如 NIST 800-53 中所記載的識別碼。

l   記錄任何已知的資安風險控制/緩解限制。

l   提供可追溯至任何現有設計輸入需求、及查證與確證輸出的可追溯性。後生產階段時，可能會增加參考緩解或矯正措施計畫，或補充參考。

l   提供文件名稱與版本，以及該控制對應於相關資安標準或架構中的具體事項。參考文件可能包括但不限於FDA網路資安上市前指引、NIST網路資安架構、NIST SP 800-53等。

l   提供資安風險控制的品質型強度，詳見 NIST SP 800-53（修訂版 1，表 D-3）。選項有：非常低、低、中等、高和非常高。

本欄位是對控制事項的註釋，而非受限之控制範圍所引起的任何弱點。

l   請合理化上述事項關於預估攻擊者能力足以繞過資安風險控制的佐證說明。

l   若控制需要後生產階段的監督才能有效果，請提供建置此等監督的相關流程。

l   請提供相關控制措施或緩解措施用於解決此漏洞的日期或版本，或各個版本的對應日期。

新控制措施/緩解措施/補償控制措施後的風險量化值更新：

透過可重現的流程，量化在施加額外控制或緩解措施後，漏洞所帶來的資安風險。可能的做法包括將CVSS與MITRE的醫療器材CVSS評分標準及環境評分（如適用）結合使用，或採用開放網路應用安全計畫（OWASP）或國際藥品與醫療器材隱私聯盟的風險評分準則。若無法進行額外的緩解與控制，須視之為前期的緩解值。

C.6 可選擇採用的安全漏洞屬性

此外，下列屬性也可能對識別出的漏洞有所幫助：

漏洞利用程式碼成熟度；

族群效應；

l   若此漏洞被利用，應識別潛在的病患族群衝擊為單一病患或多病患。

其他可能正面或負面衝擊資安的誘發條件；

l   記錄任何衝擊潛在利用可能性或脆弱性衝擊的相關條件，只要是本節其他段落未充分記錄；

若被利用，衝擊類別；

l   可能的例子包括：治療提供過程的安全相關事項、隱私、營運；

若治療提供受到衝擊，則適用的安全危害亦將會受到的衝擊；

l   列出與該漏洞相關的任何安全相關危害的潛在效應。 

附錄D：威脅建模化

D.1 威脅模型為何重要?

威脅建模化有助於判斷系統內需要保護的部分，以及系統中設計的控制措施以實施該等保護。威脅模型之所以重要的原因，是設計控制措施以保護系統免受攻擊。

D.2 何為威脅模型化?

威脅模型詳細描述影響裝置或生態系統的關鍵威脅。威脅包括哪種系統類型的自然風險、相關威脅，以及需要採取的對策類型。基本上，威脅模型會建立特定的威脅情境剖繪，進而引導更明智的設計決策，以及在漏洞評鑑（Vulnerability Assessment）時使用較為相關聯的攻擊策略。

威脅模型也為防禦者提供系統性分析，分析潛在攻擊者的動機與特徵。 這種系統性分析提供了辨識可能攻擊途徑的方法。了解這些攻擊途徑將以最有效的方式強化組織的防禦策略與系統安全風險控管。

系統設計定義了系統結構，包含交換資料的元件、元件間的資料流，以及安全邊界。該模型是系統行為的一種視角，用以識別資料在安全邊界的流動、資料所有權及元件的容納範圍。 威脅模型利用設計的抽象，來引發問題：問題可能發生在哪裡。

D.3 必要時的輸入事項，即：器材生命周期的哪一個階段須開始導入?

在建模威脅情境時，主要有三種情境需要考慮：供應鏈、設計與後生產階段。威脅建模應該貫穿整個生命周期。然而，不同方法學與模型在產品生命周期的特定階段可能提供不同層次的細節。更多資訊請參見D.7作為範例。

D.3.1 供應鏈

在選擇與包含元件（硬體、軟體與服務）時，可以從索取詳細組成分析開始，這樣在開始昂貴的內部設計流程前，就能評估其威脅，並建立其資安特性，並在後續漏洞揭露時提供。

D.3.2 設計

威脅建模愈早在設計生命周期中進行，就越愈早開始影響設計決策。然而，若過早進行，系統相關資訊不足，無法建立穩健的威脅模型。衍生型設計可能涵蓋從其生命周期中累積的大量威脅經驗。

當威脅建模在需求階段進行時，系統的主要使用方式與功能集已獲得充分了解，該等資料提供建立高階威脅模型所需的資料。此階段所建立的威脅模型有助於深刻影響系統設計。此階段可能帶來最大效益的威脅模型是以威脅行為者為導向（Threat Actor Oriented）的視角，因為從威脅行為者的視角評鑑系統是否有有價值的目標（詳見方法學章節）。其他方法如資產導向，在此階段價值有限，因為對系統設計的了解尚不充分。

當威脅建模在早期設計階段進行時，系統知識已成熟，能建立詳細的威脅模型。由於設計已經開始，威脅建模可能導致修正現有設計決策，且對未來的設計決策與實作仍有重大影響。此時可納入供應鏈風險建模，若設計流程允許，設計與採購之間的權衡可在此時開始評估。

在設計後期完成的威脅模型可能導致意想不到的需求更新與設計變更，因為先前未被考慮的威脅會在查證與確證階段彰顯出來（參考 JSP 生命周期概念於啟動階段）。然而，要認識到資安能力所需的設計變更發起若受到耽擱，可能會大幅衝擊工時與成本。

D.3.3 後生產階段

後生產階段是考慮新增功能是否需要增加的階段。若新增重要功能，現有威脅模型可能需要更新，或建立新的威脅模型以涵蓋新功能。

對於尚未被威脅建模的舊系統，設計成熟，供應鏈特性良好，製造商可隨時開始威脅建模。舊有系統通常 可供資安研究社群使用，因此外部研究者的漏洞揭露可能會讓製造商措手不及。製造商須考慮對舊有系統進行威脅建模，以防止意外發生，並提供詳細資料，以可能為基於誤解的漏洞揭露辯護。

當產品有新漏洞被通報，且現有控制措施無法充分保護產品免受該漏洞時，產品威脅模型可能需要更新。這可能需要對產品提出新的要求與控制。新的漏洞可能來自第三方組件。為了判斷該漏洞是否相關或評估現有緩解措施的有效性，威脅模型會描述對資料流的影響。根據威脅模型輸出，可以評估第三方的漏洞及其衝擊。

（未完，見續篇）

德國博登湖畔的梅爾斯堡（Meersburg）歷史

梅爾斯堡（Meersburg）位於德國巴登-符騰堡州博登湖（Bodensee）畔，是一座歷史悠久的小鎮，以中世紀城堡、葡萄園和湖畔風光聞名。其名稱意為「海上的城堡」，反映了其地理與歷史特徵。下文敘述其歷史發展，從過去到現在，以及周邊特色，包括古堡、花園和建築及其獨特性。

歷史發展：從過去到現在

梅爾斯堡的歷史可追溯至7世紀，從墨洛溫王朝（法語：Mérovingiens）的堡壘發展至現代旅遊小鎮。

早期階段（7世紀至13世紀）：傳統上，城堡於630年由墨洛溫王朝國王達戈貝爾特一世（Dagobert I）建造，為德國最古老的有人居住城堡。該地最初作為軍事要塞，後成為康斯坦茨主教的領地。13世紀，統治者去世無嗣後，梅爾斯堡歸屬康斯坦茨主教。

中世紀發展（13世紀至18世紀）：1299年獲得自由城市地位，雖名義上仍隸屬康斯坦茨主教，但享有自治權。該時期建造了中世紀城門和半木結構房屋，形成上下城區（Oberstadt與Unterstadt）的格局。18世紀初，建造新城堡作為主教官邸，於1712-1740年完工。

近代轉變（19世紀至二戰）：1803年世俗化後，被併入巴登選帝侯國（Kurfürstentum Baden），結束主教統治。19世紀成為浪漫主義詩人安妮特·馮·德羅斯特-許爾肖夫（Annette von Droste-Hülshoff）的居所，她於1841-1848年居住於古堡。該時期發展葡萄種植，成為博登湖地區葡萄酒中心。

當代時期（二戰後至今）：第二次世界大戰後屬法國佔領區，促進戰後重建。如今，梅爾斯堡是熱門旅遊地，擁有約6000名居民，經濟依賴旅遊業、葡萄酒和湖上渡輪服務。城鎮保留中世紀風貌，成為博登湖浪漫之路的一部分。

從軍事堡壘到主教駐地，再到現代文化景點，梅爾斯堡的發展體現了德國南部歷史的轉變，融合中世紀遺產與當代活力。

周邊特徵：古堡、花園與建築及其獨特性

梅爾斯堡周邊擁有豐富的歷史與自然景觀，包括古堡、新堡、花園和傳統建築，周圍環繞葡萄園和博登湖。

古堡（Alte Burg / Burg Meersburg）：建於7世紀，由達戈貝爾特一世（Dagobert I）興建，為德國最古老的有人居住城堡。

獨特性：包含中世紀武器、盔甲、拷問室、古舊床鋪和吱嘎作響的地板，提供自助導覽遊覽。

歷史意義：代表早期中世紀防禦建築，曾為詩人安妮特·馮·德羅斯特-許爾肖夫的住所，她在此創作並購買附近的小屋（Fürstenhäusle）。

新堡（Neues Schloss）：18世紀巴洛克建築（1712-1740年），原為康斯坦茨主教官邸。獨特性：粉紅色立面華麗裝飾，內部有大理石大廳、畫廊和多尼爾博物館（Dornier Museum）。如今作為博物館，展示巴洛克生活。

歷史意義：標誌主教權力的轉移，1803年後多用途使用。

花園（Garten）：新堡花園為典型18世紀皇家花園，包含林蔭道（bosquet）、溫室（orangery）和花壇（floral parterre）。

獨特性：與葡萄園相連，提供湖畔景觀，適合散步。

歷史意義：反映巴洛克園藝藝術，與周邊葡萄酒文化融合，特別以玫瑰紅酒「Weissherbst」聞名。

其他建築與特徵：半木結構房屋遍布上下城區，兩座中世紀城門保存完好。親王小屋（Fürstenhäusle）為藤蔓覆蓋的小別墅，由德羅斯特-許爾肖夫擁有，現為博物館。獨特性：彩色建築、蜿蜒街道和阿爾卑斯山景觀，提供渡輪連接康斯坦茨及其他湖畔城鎮。

前述各項特徵不僅突顯梅爾斯堡的中世紀魅力，還融合自然景觀與文化遺產，吸引遊客探索博登湖地區。

結論

梅爾斯堡從7世紀的堡壘演變為現代旅遊勝地，其古堡、花園和建築是歷史與自然的完美結合。建議遊客參觀城堡並品嘗當地葡萄酒，以深入體驗其獨特風情。

(全文竟）

醫療器材生物相容性評估的新紀元（三之三）

© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

Q2: 【綜合第4, 7, 8, 9項重點】化學性與毒理資料在生物相容性評估中應提供哪些證據來源

在ISO 10993-1:2025的架構下，「化學＋毒理資料」是生物相容性評估的骨幹，主管機關甚至常說：沒有好的化學與毒理，就談不上現代版的生物相容性。可以把它想成：先用化學鏡頭看清楚器材會釋放什麼，再用毒理學去判斷這些東西吃到／吸到／進血會不會有事。

以下從應用角度，把「應提供哪些證據來源」拆成幾塊，實務上寫報告時可以直接參照內容抓取資料。

一、材料與配方的基礎化學資訊

這是所有後續化學與毒理評估的「基礎」。主要包含：

• 材料組成與等級
• 樹脂、金屬、陶瓷、黏著劑、塗層等的化學名稱、CAS No.、醫療級規格（medical grade）。
• 供應商CoA（Certificate of Analysis）、TDS（Technical Data Sheet）、符合USP Class VI 或 ISO/ASTM材料標準的證明（如果有）。
• 配方與添加物（additives）資訊
• 穩定劑、塑化劑、抗氧化劑、交聯劑、填料、顏料、奈米粒子等的類型與大致含量範圍（例如0.1–0.3 wt%）。
• 若是此等資料屬於商業機密，至少須提供「毒理審查用」的有限制條件型資訊，或由客觀第三方毒理專家簽署的評估聲明。
• 製程相關化學物質
• 模具釋離劑（mould release agents）、清洗劑、潤滑劑、黏著劑溶劑、滅菌殘留（如EtO, IPA）等清單。

此部分資料通常由：《材料供應商文件》加《內部配方資料》加《製程SOP》共同組成，是ISO 10993-18 所謂的 「材料構成與組成資訊」的第一步。

二、化學表徵（Chemical Characterization）與萃取數據

此項資料是ISO 10993-18 的核心要素，也是FDA 2024 化學分析指引裡反覆強調的主戰場。

1. 萃取設計與條件證據

需要提供：

• 萃取策略與條件
• 萃取類型：極性／非極性／金屬（極性水相、有機溶劑、酸性／鹼性條件等）。
• 溫度、時間、表面積體積比（SA/V）、比對ISO 10993‑18與FDA建議的「加速條件」或「模擬使用條件」。
• 試樣準備
• 最壞情況配置（worst case configuration）：高比表面積、最長接觸區、最厚塗層等。
• 重複樣本或三重測試（triplicates）以代表製程變異。

2. 分析方法與檢測能力
要清楚描述應用的設備與方法：

• 使用的儀器與分析平台
• VOC/SVOC：Headspace-GC-MS, GC-MS；non-volatile organics：LC-MS / HPLC；金屬：ICP-MS / ICP-OES等。
• 方法驗證／適用性
• 偵測極限（LOD）、定量極限（LOQ）、線性範圍、回收率等。
• 如果採用 AET（Analytical Evaluation Threshold）或其他報告門檻，需包括計算過程與得到結果的佐證理由。

3. 萃取物成分清單與濃度

最關鍵的「化學證據」是：

每一個可辨認成分的：

• 身份（化學名、CAS No.、結構或推定結構）。
• 濃度（mg/device、μg/cm²、μg/day 等），以及辨識信任性等級（confirmed, tentative)。
• 不揮發殘留物（NVR, non-volatile residue）或總有機碳（TOC）等總量指標，佐證萃取已近乎「耗盡」程度。

符合FDA期待的報告，會是完整的「萃取物化學成分表」，並清楚對應後續毒理風險評估。

三、毒理學資料庫與文獻（Toxicological Information Sources）

一旦有了「成分＋暴露量」，就要根據ISO 10993-17:2023 做毒理風險評鑑。

毒理證據來源通常包括：

• 公開的毒理資料庫
• ECHA, EPA, WHO, EFSA, PubMed, TOXNET/ToxPlanet, IARC, CPDB 等，用來找尋：
• 無可見不良反應劑量（NOAEL/LOAEL）、毒理起始點（POD, point of departure）、致癌分類、重複暴露資料等。
• 既有健康基準值
• TDI/TWI 或其他食安／職業暴露限值（如WHO飲用水指引、EFSA評估），可轉換成醫療器材的可耐受攝入量（TI, tolerable intake）、最大可接受暴露量。
• 已發表的毒理研究與審查報告
• 動物試驗、體外測試數據、過敏性與致癌性研究等。
• 公開評鑑文件（如JECFA、SCCS報告）常被用來作為毒理起始點（POD）來源。

ISO 10993‑17:2023 強調，要從前述及各項具公信力的資料來源挑出「臨床最相關」的【假設的初始設定毒理起始點(POD)】，並計算【可耐受攝入量(TI)】，最後與實際估算暴露量比對，判定風險是否「可忽略」或「可接受」。

四、毒理風險評鑑報告（TRA）的關鍵內容

在生物相容性檔案裡，毒理證據通常以一份完整的【毒理風險評鑑報告 TRA】 呈現，根據ISO 10993‑17:2023 的流程。

【毒理風險評鑑報告 TRA】應包含以下內容：

• 成分篩選與優先順序
• 哪些成分需要完整毒理評鑑（例如：未知毒性、估計暴露量較高、屬已知關注物）。
• 暴露量估算
• 將萃取數據轉為：mg/kg/day、μg/day 等，考慮接觸時間與患者體重。
• 對可降解材料或長期植入物，需考慮持續釋放。
• TI/TQ 等指標與安全係數
• 新版10993-17導入【總釋放量（TQ）】等概念，搭配【可耐受攝入量(TI)】（tolerable intake）與不確定因子（MF）計算安全界線。
• 結論及與ISO 10993‑1 的連結
• 對每一個化學成分，做出判斷：風險「可忽略／可接受／需控制」。
• 若某些成分資訊不足，需說明如何透過額外測試或補強保守型假設。

此份【毒理風險評鑑報告 TRA】，就是製造商在生物評估報告中，用來取代部分或全部體內毒性試驗的重要證據。

五、品質與製程穩定性證據（支持化學/毒理結論）

除了單次化學分析，主管機關也會問：「如何確保之後每批產品都維持同樣的安全？」
可提供的證據包括：

• 材料變異控制
• 供應商變更管制、進料檢驗規格（如金屬雜質上限）、配方變更程序。
• 製程與清洗／滅菌殘留管控
• 殘留溶劑或滅菌殘留（如EtO、EO、ECH）常用的常規放行測試結果與限度。
• 穩定性與老化試驗（參見ASTM F1980:2021）
• 包裝／加速老化後，重做關鍵萃取或特定成分分析，證明降解不會產生額外毒性風險。

這些資料在ISO 10993-18 被視為「化學資訊輸入」的一部分，能支持你在10993‑1裡主張風險穩定可控。

常見之滅菌方式及滅菌劑殘留物評估：

• EO / EtO（Ethylene Oxide，環氧乙烷）
• 常見低溫氣體滅菌劑，對細菌、病毒、孢子都很有效。
• 但 EO 本身具致癌性、基因毒性，吸入或殘留暴露過高會有健康風險。​
• ECH（Ethylene Chlorohydrin，2-chloroethanol，氯乙醇）
• EO 與氯化物接觸時形成的副產物，毒性強，神經系統與其他器官都可能受影響。
• EG（Ethylene Glycol，乙二醇）
• 也是可能的滅菌副產物，雖然毒性相對較低，但仍需納入評估項目。

對於使用 EO 滅菌的器材，參考ISO 10993-7所需提供的滅菌評估證據，通常係下列項目：

• EO 殘留量測試報告（每個時點）。
• ECH（必要時還包括 EG）殘留量測試報告。
• 放行時點的殘留值，與 ISO 10993‑7 限值對照計算。
• 放氣／平衡時間曲線（degassing profile）：

例如：滅菌後第 1、3、7、14 天殘留下降曲線，用來證明選定的「最短放置時間」即可符合限值。

ASTM F1980:2021

六、實務建議：整理上述各項證據的合宜步驟

如果要規畫一個「符合ISO 10993‑1:2025」的化學加毒理證據文件，可以參考下文：

1. 建立「材料與化學清單」

• 把所有接觸元件的材料、添加物、製程化學物列成表，附上供應商文件。

2. 設計並完成符合ISO 10993‑18＋FDA期待的萃取與分析

• 規畫極性/非極性／金屬三軌，選擇適當GC-MS、LC-MS、ICP-MS等方法，並寫好方法驗證摘要。

3. 整理成「萃取物成分與暴露量」總表

• 每一成分：身份＋濃度＋推估患者暴露量。

4. 按ISO 10993‑17:2023做毒理風險評估

• 用資料庫與文獻找毒理起始點（POD），算出TI/TQ，與暴露量比較，寫成TRA。

5. 把結論餵回ISO 10993‑1 生物評估報告

• 清楚說明：哪些生物終點由化學＋TRA支撐，因此可以減少或豁免哪些動物試驗。

（全文竟）

醫療器材網路資安風險管理概述（十之七）

（見前篇）

參見標準：ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

B.8 平行於可使用性工程

1990年化，人們逐漸意識到可用性錯誤對病患安全的衝擊。通常提到如下的例子：

l   醫囑輸入系統引起誤解，導致處方訂單錯誤；

l   手術開在錯誤位置；

l   拍攝X光片時，意外關閉呼吸器；

l   醫院內各常用器材的管路因直徑、接頭、顏色而易生混淆；

l   警報混亂/疲勞；

l   類似的器材但介面設計不同，導致混淆和錯誤。

上述狀況出現伊始，眾人就意識到分析人類行為的方法與傳統評鑑風險的方法不同。類似於FMEA和機率風險評鑑等類型的工具，並不會模擬由於混淆、誤解、工作流程偏差或警報混亂/疲勞而產生的錯誤。

因此，制定一套新的標準來處理此項新興領域乃當務之急。最先是2001年發布的ANSI/AAMI HE74，採用流程導向。2009年發布的ANSI/AAMI HE75，重點在於設計元素，但也包括使用錯誤的保全/資安風險管理及可用性測試的章節。國際標準IEC 62366-1於2015年發布，取代了ANSI/AAMI HE74，係拉近危害與安全的直接關聯。雖然上述各份文件引用ISO 14971，但其所記錄的方法以及執行此等方法所需的知識，需要與安全工程不同的技能。顯然，安全工程需要參照既有的風險管理流程，才能將新處理的風險納入既有的風險檔案，但僅僅執行傳統安全風險分析，無法充分識別透過使用者介面及系統中人為元素可能引入的所有危害。此外，可用性分析中有些面向並不直接與安全性相關。使用者滿意度、存取可及性，以及包裝設計等項目，可能不會直接與危險情境相關。類似於保全與安全之間的關係，圖B.3展示了可用性與安全性之間的關係。

（圖B.3）

事實上，這三個需求領域之間存在相互關聯性。保全/資安風險控制可能會造成使用者混淆，進而導致病患受傷。圖B.4即呈現此等意涵。雖然每個風險分析都由該領域受過良好訓練的人主持，但其他兩個領域的參與者都必須參與整個過程，因此三個觀點都必須加入到全部腦力激盪與分析。

（圖B.4）三個領域之間的相互關聯性

B.9 法規機構對安全與保全/資安風險管理的區別之認知情況

保全/資安風險管理的方法首先出現在AAMI TIR57中，目前則在 AAMI SW96中，已獲得全球法規主管機構在醫療器材保全議題上的高度關注與參考。美國FDA在發表SW96時已認可AAMI TIR57，並在指引中提及此方法。加拿大衛生部也特別提及AAMI TIR57，並建議採用平行的方法來管理保全與安全風險。

撰寫本文時，AAMI TIR57 也被列為 IMDRF 網路保全指引圖 3 中關於全生命周期風險管理具體指引的可靠來源。雖然IMDRG文件未明確提及平行流程，但其草案圖1中採用了AAMI TIR57的安全風險管理流程步驟，明確說明本附件中保全領域獨有的細節，包括威脅、漏洞、資產及不利衝擊的識別。

代表所有歐盟成員國的醫療器材協調小組（MDCG）於2019年12月發布了MDCG 2019-16年度醫療器材網路保全指引。該份文件承認保全與安全風險管理流程中各步驟的相似性。雖然強調不需要獨立流程，但未承認需要特定方法與要求以資應對保全/資安風險，因此指出遵循相同的基本步驟，但保全/資安風險管理有其獨特面向。事實上，在附件IV中，該指引幾乎完全一致地使用AAMI TIR57中圖4的版本，說明保全/資安風險與安全風險管理過程之間的關係。亦包括兩個過程風險分析與風險控制步驟之間的交叉連結。

如所舉例所示，該方法以一系列平行流程為基礎，步驟相似，但多個關鍵方法的不同面向，已被多個監管機構認可並支持。

附錄C：保全/資安風險管理報告

C.1簡介

風險管理報告的目的是促成僅須一份文件，便足以提供所收集來的且濃縮過的有關醫療器材、技術或相關專案的核心保全/資安風險資訊。該份報告須能提供相關實體之保全/資安風險的理解，以及評鑑風險的策略與步驟概覽。該份報告須包含必要的資訊，使報告能在評鑑實體整個生命周期中定期且持續更新。此外，從設計需求到安全風險管制，再到他們所管理的風險，宜乎提供雙向可追溯性，須在報告中明確說明。

C.2 報告識別

如同其他的醫療器材風險管理報告，此份報告亦屬品質文件之一列入文件化管理，且須在整個的器材專案生命期內（包括生產、後生產、終止服務各階段）易於更新，宜比照品質文件方式具備表單、原數據、核准步驟、電子儲存等要項；除此之外，建議報告標題須納入下列元素，或者報告中皆須准予存取元數據的儲位：

l   報告標題：顯示在報告每一頁的頁頭或頁尾；

l   報告涉及之專案名稱；

l   報告總頁數：亦須出現在報告每一頁的頁頭或頁尾；

l   報告的版本：現在版本、前此版本及日期，簡述更新事項；

l   管理層引言（又稱《執行摘要》）；

l   撰文者資訊：名字、職稱、簽名（或電子簽章）；

l   核准者資訊：名字、職稱、簽名（或電子簽章）；

C.3 報告章節

保全/資安風險報告須包括下列章節：

專案描述：

l   此描述應聚焦於資安，並強調報告中討論實體的資安相關面向。有時也適合參考其他文件（通常是品質系統中），這些文件具有更通用或不同聚焦的專案描述，以增進對專案的理解。建議此描述不應逐字重複現有描述。

資安範圍

l   包含生態系統圖及其他 IT 架構圖，展示專案的資料流程、涉及資安元素和屬性。雖然參考其他設計的現有架構圖亦屬合適，但通常適宜為報告製作資安專用的架構與生態系統圖。

l   本節須說明與專案相關的資安範圍。須同時針對專案的實體，專案與相關的內容、與資安（IT）相關的生態系統元素。若有特定超出範圍的部分，應在此節附上佐證說明；此類佐證通常是參考包含適當風險匯整過的其他文件。

風險評鑑計畫的實施

l   本節須討論用以評估專案及其涵蓋實體安全風險的方法與方法學。 該方法應包含如何判定資安威脅與漏洞的細節（例如：威脅建模方法）、如何地做、及在哪裡做出記錄，以及資安測試的規劃方案。該等測試包括正式查證與確證（V&V）、資安測試，以及與資安風險控制相關的滲透測試，此等方法皆係降低風險之用，還有安排紅隊（red teaming）挑戰既成防範效果，和其他針對誤用或濫用的資安測試。

l   本節亦須討論針對評鑑資安威脅、漏洞及資安測試進行設計變更審查、實施及文件記錄的流程。

l   若在執行與專案相關的風險分析前，已另行制定資安風險評鑑計畫文件，則本 節須引用該文件，並確認是否出現任何偏離或變更，並說明偏離理由。否則，本節須確認先前文件化的計畫是否受到採用。

l   本節須提供與專案或技術相關的其他風險評鑑計畫的參考資料及相關討論；該等參考資料可能包括資安、可用性、可靠性或其他可能相關的品質活動。

匯整評鑑後的風險

l   本節應記錄與所包含元素（包括支援版本）相關的專案資安風險。風險應包含以下細節：

n   風險描述應包含對威脅情境及由此產生風險的脆弱性的理解。

n   相關的資安風險控管，能消除、減輕、轉移、補償、接受或以其他方式處理風險。

n   與所述風險實例相關的資安風險殘餘風險的限定。 此量化可結合 CVSS 與其他風險細節或其他標準/指導文件提供的基礎方法來評分資安風險。將CVSS結合MITRE的CVSS評分準則用於醫療器材，並結合其他風險指標，包括造成特定族群的衝擊效應（對一位或多位患者造成的風險）及安全傷害的界定，是此種量化的方法之一。

n   在資安風險控制的實施前與實施後，宜於提供量化風險。CVSS 與 MITRE 醫療器材 CVSS 評分準則的環境評分，也可用來協助量化資安風險，尤其是在實施資安風險控制後。對於專案中未曾考慮過的新風險漏洞，此種量化在後生產階段進行修補時特別有用。

n   上述風險匯整須更詳細地反映資安漏洞及相關控制措施，並儲存在可維護的地點。關於資安漏洞及相關控制措施的建議細節，請參閱條款C.5及C.6。

l   視專案需求，得適當地加入與本節中明確規定的法規要求或指引的具體對齊。

資安風險的處置與接受

l   根據前述評估的風險匯整，本節須詳述任何未完成的要求、或風險處置所需的變更。若對資安殘餘風險無需處置，則本節須說明該風險的接受或轉移情形，以及任何額外的接受或轉移準則。例如：可能需要臨床專家或特定管理層簽署，才能接受殘餘風險。從系統觀點考量，以及所有利益與風險的權衡情形，在接受或轉移風險時，須予以充分考慮。

生命周期管理

本節須說明專案須如何在所包含的各種實體（意指：器材、資訊生態系統等）生命周期中評估與量化風險。此討論須包括如何從外部來源（包括訴怨事項）收集與評估新漏洞，並將其整合進相關流程與文件中。本節須討論資安監督、入侵偵測與應變，以及包括修補在內的各項修復作業。有的時候，提供參考其他描述相關功能與流程的文件可能較為適當。

本節須包含審查及/或更新本報告相關風險所需的條件或時程討論。此等條件可能包括從外部單位收到的漏洞或安全相關的訴怨。時間架構可能係每個年度進行審查。

根據專案需求，可能適當地加入與後生產階段的法規要求或指引的具體配合事項。

服務結束計畫

本節須討論醫療器材（包括已識別元件的版本）在服務結束時，如何從資安角度進行管理。特別須討論如何通知利害相關者此等事件、相關元件與資料的處理方式，以及由何人負責必要措施。同時也須考慮在決定終止服務後，當事人仍繼續使用（意指受到牽連的醫療器材、或生態系統）的風險。有的時候，提供參考其他描述相關功能與流程的文件可能較為適當。

風險結論：

在報告收尾部分須提供專案相關安全風險的最終總結內容，簡要地匯整報告內其他章節的關鍵要素。

（未完，見續篇）