2026年7月17日 星期五

醫療器材維護管理計劃概要(五之三)

 (續前篇)

ISO/TS 5137:2026

適合一般醫療保健服務產業界,器材與設備維護、維修者,具備基礎教育背景的讀者。
此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱ISO的官方網站、洽詢各家專業公司、諮詢顧問等。
CC BY-SA 4。0。

6.3 使用者訓練

使用者應接受醫療器材正確且正確的使用與操作訓練。

BES應在新醫療器材推出時提供或協調使用者訓練,或依使用者要求定期進行。

訓練內容涵蓋以下內容,但不限於:
a. 醫療器材操作時的安全注意事項;
b. 正確操作,包括醫療器材製造商特有的功能;
c. 用戶維護;
d. 清潔與除污意識;
e. 操作查證程序;
f. 識別並修正常見的營運問題;
g. 識別缺陷醫療器材及潛在危害;
h. 維護申請的正確通報程序;
i. 如何通報事件的說明。

HDO應保存訓練紀錄。

6.4 基礎設施
HDO將決定設立BES工作坊的需求。應提供足夠的維護工具與設備。

6.5 污染控制
視實際情況,HDO應規劃並記錄控制受污染或潛在受污染醫療器材的安排,以防止工作環境、人員或其他醫療器材受到污染。

醫療器材應依製造商所提供建議程序,或國家或地方標準作業程序進行除污,方可進行任何維護活動。

7 實施維護計畫

7.1 規劃實施維護計畫

7.1.1 一般
HDO 或 BES 應定義各項維護的內容:
a. 預防型維護
b. 非定期維護
c. 預測型維護
d. 校正
e. 例行檢查Routine inspections (RI)

維護計畫應規劃以確保醫療器材在整個生命週期中運作,並考慮以下限制條件減少停機時間
a. 工作高峰期及人員未出勤時段;
b. 測試設備與工具的可用性
c. 使用者部門設定的限制條件;
d. 盡可能結合預定的預防型維護(PM)(見7.4.2.4項)與校正。
維護的優先順序應與各使用者協商。

補充說明:
HDO與BES建立一份詳細的器材/設備清單,應包含以下資訊:
  • 器材/設備名稱
  • 器材/設備型號
  • 器材/設備序列號
  • 器材/設備製造商
  • 安裝日期
  • 重要零組件
  • 器材/設備位置
  • 器材/設備運行參數
若能使用維護管理系統 (MMIS) 來管理器材/設備資訊,有助於大幅提升效率和準確性。

7.1.2 維護期間的間隔
預防型維護應依計劃性、定期進行。預防型維護的時間框架應與使用者協商。維護間隔應根據以下條件定義:
a. 製造商根據維修或操作手冊建議的間隔
b. 維護歷史、安全警示、設備故障、事故報告、使用錯誤及元件故障
c. 產業標準
註:可能有國家法規定義特定的維護期間的間隔。
d. 使用區域/範疇
e. 風險評鑑

BES將依這些最低頻率執行維護,並視情況調整預定頻率。

維護間隔不得在未經合理說明、風險分析及HDO書面批准的情況下縮短。HDO可依據監管機構或政策制定程序。這些時程變更不會對病患照護或使用者及病患安全造成不利影響。

7.1.3 風險管理

對HDO內所有醫療器材維護活動,應定期進行風險評鑑。
HDO應制定並記錄其醫療器材維護/維修管理計畫的風險管理計畫。
HDO應建立、記錄並維持一套程序,以收集及審查與醫療器材相關的潛在及實際危害。
風險管理計畫應依情況(適用時)進行審查與更新,納入前次審查至今的期間所累積的經驗。

補充說明:

器材/設備維護/維修實務上採用故障/失效模式、效應和關鍵性分析 (FMECA),用於識別器材與設備潛在的故障/失效模式、原因及其對器材或設備或系統的影響。例如:
  • 識別關鍵的故障模式;
  • 評估故障的嚴重程度、發生頻率和可檢測性;
  • 制定相應的預防措施;
  • 該技巧有助於針對不同器材/設備的特性,制定個性化的預防型保養計畫。
7.1.4 服務驗收

BES應在所有醫療器材維護或修理後,於正式放行提供服務前,進行任何測試或校正(如適用時),或兩者皆須執行之。
所有測試及校正結果均須記錄下來。
使用者應確認完成的任何檢查、維護或修理。

7.2 再次使用可重複使用醫療器材的測試、調試與接受

7.2.1 測試、調試與驗收

所有醫療器材,包括租賃、借用及捐贈的醫療器材,在提供到臨床服務前,都應進行測試、調試或驗收,並包括(但不僅限於此)各種安全面向、目視檢查、電氣安全測試及性能測試。

負責的HDO應確保醫療器材依製造商的使用說明(如適用時)進行測試,並納入醫療器材維護計畫。結果將以文件化方式記錄下來。

若需修正醫療器材以通過測試、調試及驗收,則該修正應由製造商、授權代表或相關單位執行,且醫療器材應再次進行測試、調試或驗收。

BES應收集並審查醫療器材供應商所提供的文件。

文件示例如下述:
a. 設備規格
b. 設備驗收、程序、流程的要求事項;
c. 訓練要求;
d. 文件化要求。

BES應要求醫療器材供應商提供測試設備及特殊工具的詳細資訊。

7.3 維修服務

7.3.1 一般
所有維修活動都應記錄下來。
所有執行維護/維修活動的人員都必須接受適當訓練。訓練紀錄應依據4.1.3予以文件化。

7.3.2識別
醫療器材應具備唯一識別性。

不符合的醫療器材應明確標示為「停止服務」(或稱:檢修中、待驗)(詳情見8.3)。

(未完,見續篇)

2026年7月16日 星期四

醫療器材維護管理計劃概要(五之二)

(續前篇)ISO/TS 5137:2026
適合一般醫療保健服務產業界,器材與設備維護、維修者,具備基礎教育背景的讀者。
此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱ISO的官方網站、洽詢各家專業公司、諮詢顧問等。
CC BY-SA 4。0。


5 管理責任

5.1 規劃

5.1.1 品質目標

HDO應確保在組織內相關職能及層級確立品質目標,包括符合相關法規要求及維護/維修計畫要求的目標。

品質目標必須是可以衡量的目標。

5.1.2 維護/維修管理計畫的規劃

HDO應確保
a) 維護/維修管理計畫的規劃是為了符合4.1中所提供的需求及品質目標;
b) 保持維護/維修管理計畫的完整性,即使遭到規劃並實施變更時仍得以維持完整性。

5.2 責任與權責

HDO應確保職責與權限得到明確定義、文件化並在組織內溝通。
HDO或BES應根據以下條件定義維護/維修管理計畫的運作結構。
a. 資源,
b. 實際設置情況
c. 挑選(何種)醫療器材
d. 工作環境
e. 文件化與資訊系統。

補充說明:
保健提供組織(HDO)承擔MMP的完全責任,包含下述事項:

責任事項

說明

最終責任主體

對全組織的醫療器材的安全、有效、符合法規負起最終責任,包括:維護管理計劃的建立、實施與持續改進

資源提供

為維護管理計畫(MMP)配置人員、設備、場地、預算、資訊系統(MMIS)、技術文件庫等必要資源

系統策劃與目標制定

制定品質目標

維護管理計畫(MMP

明確維護/維修策略(基於風險考量)

維護/維修類型(使用者維護 / 預防性維護 / 例行檢查 / 校正 / 維修)

角色授權與監督

指定並授權 BES,明確其職責與許可權;

定期審查 BES 績效與體系有效性

符合法規與執行風險管理

確保符合法規、標準、製造商要求;

建立風險評鑑機制,

對高風險器材(生命支援、手術室設備及器材)實施更嚴格、較深入且細緻的維護/維修工作

記錄與持續改進

維護完整記錄(設備資產台賬、維護歷史、校正證書、故障報告);

通過內稽、管理審查、矯正及預防措施等管理工具,持續優化系統運作和最大程度達成績效



5.3 生物醫學工程服務代表BES Representative

組織應指派一名或多位代表作為生物醫學工程服務(BES)代表,其職責與權限包括:
a. 確保生物醫學維護/維修服務做出文件化記錄;
b. 向管理階層報告BES的績效及符合法規要求;
c. 確保最高管理階層人員對遵守法規要求及其他適用法定要求的義務,以及醫療保健機構最高管理階層所制定的任何相關規定。

補充說明:
生物醫學工程服務(BES)代表可以由組織內部指定(醫院設備科 / 醫學工程部 / 生物醫學工程科主管 / 經理)或外包給合格的第三者(協力廠商、服務機構指定專人),但必須是唯一、明確、可追溯。其責任與許可權限必須給出清晰定義,以書面授權確認之。

良好實務:
  • 一個 HDO 只能有一個正式任命的 BES,不能多個部門 / 職稱共同負責BES;
  • 以書面任命BES後,其他部門配合其執行MMP。
  • 即使BES外包給供應商,但HDO仍負起符合法規的最終責任。包括所有維護/維修記錄必須可追溯、可稽核;
  • 高風險醫療器材及設備維護/維修必須由 BES 直接管制與監督的合格人員進行,包括:生命支援、手術室、急救設備(如呼吸機、除顫器、麻醉機),此等醫療器材的維護頻率、校正精度、記錄完整性要求遠高於普通器材或設備;
  • 禁止委由臨床護士或專科醫師自行維護/維修高風險醫療器材或設備。

 

生物醫學工程服務(BES)代表的核心任務與負責範圍:

責任事項

說明

維護管理計畫(MMP)的所有者與執行者

制定、更新並執行 MMP

將臨床需求轉化為維護技術規範(Method Statement

全生命週期設備技術管理

設備挑選類別、型號、採購評估、接受度測試、入庫建檔

日常維護、預防型維護、校正、故障維修、處置及報廢評估

維護執行資訊系統(MMIS)的日常運作與資料管理

團隊管理與能力保障

管理內部生物醫學工程人員或協調外包服務

制定並執行人員訓練計畫,確保維護人員具備必要專業能力

評估人員績效,處理能力不足問題

合規、風險與品質控制

確保所有維護活動符合法規、標準、製造商使用說明書

執行器材與設備風險評鑑,制定風險管制措施

監督維護品質,處理不符合的維護/維修與不良事件

配合內稽、管理審查、外部稽核與法規主管機關的檢查

溝通協調與報告

作為 HDO 與臨床科室、設備與器材製造商、法規主管機構、協力廠商與服務商的技術介面聯絡人

定期向 HDO 高層報告維護制度的執行績效、設備與器材狀態、風險與改進建議

 

6 資源管理

6.1資源提供

HDO應決定並提供所需資源以:
a. 實施維護/維修管理計畫並維持其效能;
b. 達到適用的法規要求

6.2 人力資源
執行維修工作的人員應具備適當的教育、訓練技能及經驗能力。

HDO應記錄建立能力、提供必要訓練及確保人員意識的過程。

BES 應
a. 確定執行影響維修活動工作的人員所需的能力;
b. 提供訓練或採取其他行動以達成或維持必要的能力;
c. 評估所採取行動的成效;
d. 確保其人員了解其活動的相關性與重要性,以及他們如何有助於達成品質目標;
e. 妥善保存有關教育、訓練、技能及經驗的適當紀錄。

HDO實際BES技術人員人數可依以下因素而定:
a. HDO的醫療器材數量;
b. BES活動需求:
c. 醫療器材的種類。

補充說明:


生物醫學工程服務(BES)代表的教育、訓練、工作經驗、人格特質等必要與輔助條件,配合醫療保健產業最佳實務(如:AAMI、ISO、IEC、EN、DIN、JIS各國醫療法規)

學歷:

基礎程度

生物醫學工程、醫療器材技術、醫學工程、電子工程、機電一體化等相關專業大專及以上學歷

加分項目

大學程度或更高學歷

生物醫學工程 / 臨床工程專業可加分

未達到上述程度

需額外增加 23 年相關工作經驗並通過能力評估

 

專業訓練:

標準與法規訓練

ISO 13485, ISO/TS 5137

IEC 60601系列(醫用電氣設備安全)

IEC 62304醫療軟體

ISO 81001-5-1醫療軟體更新與資訊安全

當地醫療器材法規

技術訓練

醫療器材原理、結構、安全、維護、校正、故障診斷

維護執行資訊系統(MMIS)操作;

風險評鑑方法(如 ISO 14971, ISO/TR 24971)。

資訊與數位技術應用在醫療器材與設備,如:人工智慧、數位傳輸

管理訓練

品質管制、內部稽核、團隊管理、溝通協調、文件編寫、技術文件製作與管理

醫療倫理學

醫護病患的個人資訊及資料保密

在職訓練

每年不少於 20 小時專業在職持續教育,涵蓋新技術、新法規、新器材、新設備

 

工作經驗:

基礎程度

3年及以上工作經驗

任職於地區////鄉級醫療保健機構

生物醫學工程 / 設備管理相關工作經驗

加分項目

5 年及以上,其中至少 2 年管理經驗(如設備科主管、醫學工程部主管、專案負責人)

關鍵經驗

獨立負責過中大型醫院(≥200 張床位)或教學中心醫院的器材與設備維護管理

熟悉高風險設備(呼吸機、麻醉機、病患監護儀、除顫器、超音波機、CTMRI)維護/維修

參與系統建立 / 內稽 / 外稽的應對經驗。

 

能力與資格:

基礎程度

精通醫療器材與設備維護/維修管理完整流程

熟練掌握相關標準法規並能實際執行,卓具成效

具備風險評估、問題解決、團隊領導、跨部門溝通能力

熟練使用維護/維修管理軟體與辦公軟體

加分項目

註冊生物醫學工程師

醫療器材內部稽核員 / 品質管理稽核員

相關設備協力廠商驗證合格工程師

利用人工智慧技術工具協助促進維護管理系統運作

 

人格與職業素養
  • 嚴謹負責、細緻耐心、誠信正直;
  • 良好的溝通協調與團隊合作精神;
  • 較強的學習能力與適應能力;
  • 高度的安全意識與職業倫理。

(未完,見續篇)

2026年7月15日 星期三

製造商與產品的網路韌性要求 第一部分:一般要求(六之六)

BSI技術指引 TR-03183-1

適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。

此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。
CC BY-SA 4。0。


(見前篇)


5.12.2 可能性準則
為了估算事件發生的可能性,將使用以下量表:

可能性尺度:
1 - 風險情境極不可能發生;
2 - 風險情境不太可能發生;
3 - 風險情境較有可能發生;
4 - 風險情境極有可能發生;;
5 - 風險情境幾乎必然發生

一般而言,可能性高度依賴於具體風險,應以產業專屬知識與威脅情報來支持。

該指引將使用「環境」指標,根據預期的作業環境保護,根據PwDE或其組成部分所提供的保護,來評估事故發生的可能性,從而降低事故發生的可能性。此方法可獨立於特定可能性的攻擊者剖繪面使用,因為這些資訊已包含在衝擊中,衝擊越高,攻擊動機與能力越高。

注意:環境指標可依特定使用情境調整,包括更複雜的方法。最初定義的指標未包含攻擊鏈或細緻防禦深度策略的考量,因為這需要假設潛在的環境失效或資產衝擊的環境敏感變化。

Indicators

指標

佐證說明

界面限制

介面限制降低攻擊的可能性。此指標顯示 PwDE 最大假設可達性。

存取限制

存取限制會衝擊潛在攻擊者的數量及可能的攻擊時段,降低成功攻擊的可能性。

使用者能力

缺乏技能的使用者更容易錯誤操作產品,或更容易受到社交工程面向的攻擊。此指示器僅在風險的處理方式依賴使用者之應對作為

 界面限制

指標

佐證說明

實體

PwDE 內部通訊,並可透過物理操作存取。對於軟體產品而言,這涉及對軟體內部通訊/處理的操作。攻擊者需要直接存取 PwDE 並在內部進行操控

局部

PwDE 透過本地介面進行短距離通訊,例如嵌入式使用者介面、NFC 或短距離有線連接。軟體方面,這也包括在同一裝置上與其他軟體 PwDE 之間的進程間通訊。攻擊者需要PwDE直接本地存取權限

搭配既定網路

PwDE 與使用者已知且信任的相鄰網路通訊,無需預期連接外部網路。該網路專門用於特定使用情境,因此預期僅有限數量的 PwDE,僅用於該專用場景,例如本地家庭匯流排系統、點對點無線區域網路(WLAN)或藍牙連結。攻擊者必須靠近 PwDE 才能透過網路存取,外部網路的存取並非設計

已知網路

PwDE 與使用者已知且信任的相鄰多功能網路通訊,該網路與其他 PwDE 共享,用於多種使用情境,例如家庭或辦公室網路。攻擊者必須靠近 PwDE 才能透過網路存取,外部網路的存取並非原本預期方式

外部網路

PwDE 與非使用者或其組織控制的網路通訊,例如行動網路、WAN 或未知的 WLAN。攻擊者可能從任何地方存取 PwDE,因為外部網路的拓撲結構未

 存取限制

指標

佐證說明

限制

進入PwDE的權限是有限的,只有一群已知的人能使用PwDE

公眾限制

預期提供公眾進入或不可避免,但PwDE通常由已獲得授權人員監督。攻擊的窗口通常係受到

移動式

預期提供公眾進入或不可避免,但PwDE通常由已獲得授權的人員監督。PwDE是移動的,攻擊者可以將之移除。攻擊的窗口通常係受到,但可以透過移動目標來擴大窗口。

無限制

沒有特定的存取限制,也沒有潛在攻擊者和攻擊窗的限制。如果本地存取受到限制,攻擊仍可能在沒有本地存取的情況下得以執行。

 使用者容量

指標

佐證說明

與使用者無關

使用者能力衝擊事件發生的可能性

有經驗者

熟練使用者,例如資訊專業人員,不太可能因操作與設定不當而曝露產品,並能利用自身專業知識提升 PwDE 資訊安全性

指示後使用

練的使用者,例如熟悉技巧或懂 IT 資訊安全、閱讀手冊的使用者,不太可能因操作與構成項目不當而曝露產品

無經驗者

技術不夠熟練的使用者,可能會因操作與構成項目不足而不必要地曝露產品

 

5.12.3 接受準則

風險可以根據其可能性與潛在衝擊進行分類與評估。該指引將採用以下風險接受準則:
  • 若存取限制無法阻止具備低複雜度攻擊能力的潛在惡意行為者取得本地存取,則無法接受本地攻擊造成中等或更高衝擊性的風險。
  • 若存取限制無法阻止本地存取已知但潛在惡意且具高複雜度攻擊能力的行為者,則無法接受本地攻擊帶來高或更高衝擊的風險。
  • 若網路限制無法阻止一群具低複雜度攻擊能力的潛在惡意者存取,則中度或更高程度衝擊的風險是不可接受的。
  • 若網路限制無法阻止已知有限群體(具備高複雜度攻擊能力的惡意行為者)存取,則無法接受高或更高網路攻擊衝擊的風險。
  • 若使用者為外行人,因初始配置錯誤而產生中度或更高衝擊的風險是不可接受的。
  • 若使用者是受訓技工但非熟練專家,因初始構成項目錯誤而產生高度或非常高程度的衝擊風險是不可接受的。
風險的接受度也可透過評分方案與風險矩陣加以評估,如附錄B(參見原指引內容)所示。此方法高度實驗性,該指引不會直接採用。

5.13 實務風險處理

風險處理需要經驗,且取決於產品及相關人員,因此很難以既詳細又通用的方式描述風險處理,既能幫助你,又足夠通用以適用於所有產品。

該指引附錄A(參見原指引內容)中包含一個簡單的示例,作為製造商在無風險處理階段時的初步指引。

6 採用可調整型基於風險的控制措施 (ARC, Adaptable Risk-based controls)

該技術指引將採用一種稱為「可調整型基於風險的控制」(ARC)方法,根據相關風險選擇適當的控制措施。因此,ARCs總是會伴隨一個或多個風險情境。

6.1 風險情境 risk scenarios

風險情境包含以下資訊:
風險情境:描述風險前後環節的情境;
資產:受影響的資產及其衝擊情形;
環境:環境參數(存取限制、介面限制、使用者能力);

若某件PwDE帶有風險,可依以下步驟評估之:

1. 依前述之風險處理方式進行風險評鑑。
2. 根據衝擊準則及環境,對所識別的資產進行分類,係依負責處理的資產化PwDE組成部分做出分類。這將帶來資產與基線之間的衝擊映射,涵蓋機密性、完整性與可用性及相應環境。
3. 將PwDE分隔成不同的環境。依照可能性準則,個中環境由存取限制、使用者能力及介面限制組成的元件構成。請著意描述環境的元組件。此可從元組件基礎開始,之後再以介面與功能為基礎予以細化。對於由其負責的 RDPS,製造商可選擇願意提供何種環境來運作 RDPS。
4. 根據控制風險前後環節中給定的資產、衝擊及環境參數選擇控制措施。若 PwDE 或其部分元組件面臨風險
– PwDE 或其部分的處理方式、或以其他方式影響所列出的資產;
– PwDE 或其部分預期環境中列出的存取與通訊限制,以及使用者能力。

示例:PwDE 處理消費者市場及室內使用的通用型個人識別資料(PII)的資訊,並由製造商操作的 RDPS。而RDPS 儲存大量個人識別資料集。

環境

一個與一般消費者共用的元組件,限制室內存取並連接到遠端網路,導致(普通使用者、受到限制、聯結到外部網路)環境。
一個具備專業 IT 操作的 RDPS 元件,位於受到限制的資料中心並連接遠端網路,形成(熟練、受到限制、聯結到外部網路)環境。

衝擊分類

在(普通使用者、受到限制、聯結到外部網路)環境中放置的元組件負責處理個人識別資料(PII)。具有通用型之機密性:3、完整性:2、可獲得性:2。
RDPS 元組件在(普通使用者、受到限制、聯結到外部網路)環境中負責處理個人識別資訊(PII)。具有通用型之機密性:3、完整性:2、可獲得性:2。。由於可能影響的資料集數量甚多,會使用放大率「1」,從而獲得機密性:4、完整性:3、可獲得性:3。

控制事項的選擇

假設控制事項如下:
自動更新機制(機制);
風險情境:PwDE處理衝擊為中等或較高的資產,若產品完整性喪失,則無法受到保護。使用者只是個普通使用者,沒有定期安裝更新,導致 PwDE 容易受到外部網路攻擊。

資產:
• 機密性C(3);
• 完整性I(3);
• 可獲得性A(3);

環境:
• 存取限制:(視實際情況而定);
• 介面限制:外部網路;
• 使用者能力:普通使用者;

控制:

PwDE 的更新機制必須包含能自動檢查新更新的自動更新機制。

根據前述參數,可選擇控制點以適應不同環境:

「自動更新機制」確實適用於在沒有熟練使用者的情況下,處理衝擊至少為《3》 的外部網路資產的 PwDE。因此,此方式通常適用於典型的 PwDE,處理一般個人識別資料(PII)並使用遠端網路存取。

由於控制系統也預期一般使用者,因此僅適用於由普通使用者管理的 PwDE 元組件,而非 RDPS 元件,因為 RDPS 元組件是在專業環境中操作的。這適用於許多預設的安全控制系統。

6.2 ARC 的佐證說明

ARC是一種針對PwDE使用情境,選擇適用於網路與資訊安全的控制措施的方法。

影響資安適宜性有兩個面向:
必須保護哪些內容
這是由資產識別中識別出來的資產及其潛在衝擊所定義。在第二步所述的衝擊分類後,可以推導出保密性、完整性及可獲得性保護程度的指標。

必須防範哪些因素
這取決於威脅分析中識別出來的威脅及其發生的可能性。將資產分類為不同衝擊類型時,也會產生三種通用威脅,即失去保密性、完整性喪失及可獲得性喪失。這也包括這些威脅發生的可能性,因為其衝擊直接關聯於惡意行為者的動機及潛在能力。

如果對產品一無所知,可假設是最壞情況,即存在三種威脅,且相對可能存在潛在衝擊。通常情況並非如此,因為基於環境,PwDE已具備一定程度的保護,因此基於現有的存取限制、通訊限制或其他安全控制措施,事件發生的可能性降低。一個特殊的環境因素是使用者能力,因為高使用者能力表示環境已具備成熟的管理控制機制,並預期具備設定特定限制或其他技術/物理控制的能力。雖然不惡意,但不熟練的使用者仍需額外支援以保障 PwDE 的安全操作。

環境可用於 PwDE 元件的組合。PwDE 的某個元組件係在製造商預期會提供該等環境以整合元組件。製造商必須完整提供預期的環境,或是將此種預期環境交給供應鏈中的下一個使用者。若是如此,製造商必須協助下一位使用者達成期望的環境。此點至少包含對委外期望的透明化敘述,以及達成期望的方法,例如若預期有額外配置事項,則需提供設定介面。



圖八:環境構成示意圖

關於此技術指引的評鑑,複合特性可用於自上而下的方法,若評估者假設某項控制對 PwDE 的某一部分(例如介面、應用程式或功能)不必要甚至有害,評估者可將所使用的環境與資產具體範圍至該部分 PwDE 並重新評估控制內容。

7 網路與資訊安全控制

該指引定義了一套產品安全與漏洞處理的初步控管措施,這些措施通常用於確保PwDE的網路與資訊安全。

這些控制措施為通用型設計,適用於多種產品,因此屬於較高階設置,製造商會根據使用情境及特定 PwDE 類型進行進一步規範。

該技術指引的網路與資訊安全控制以機器可讀格式OSCAL定義,以利於
• 提供根據使用情境篩選適當控制的能力
• 簡化現有控制的再予使用及自訂控制目錄的定義
• 建立結構化格式,用於記錄與評鑑已實施控制的措施

OSCAL 控制功能可透過 Github 倉庫提供: https://github.com/tr-03183/tr-03183-1

若有申請, tr-03183@bsi.bund.de將提供有關資料庫及OSCAL使用情況的額外資訊

8 使用者文件

使用者文件對於PwDE使用者能安全地設置、維護及除役至關重要。使用者文件讓製造商能向使用者傳達對安全使用產品的期望,從而降低因使用者錯誤而產生的濫用與漏洞風險。同時也提供使用者必要資訊,以便向製造商回報漏洞與安全事件。

本節概述CRA附錄II中規定的PwDE最低程度須在使用者文件呈現事項。

8.1 UD - 使用者文件

8.1.1 UD.1.1 - 製造商識別(文件)

8.1.1.1 控制
與 PwDE 相關的使用者文件必須包含製造商的名稱、註冊品牌或註冊商標,以及郵遞地址、電子郵件或其他數位聯絡方式,以及(如有)提供聯絡製造商的網站。

8.1.2 UD.1.2 - PwDE產品識別(文件)

8.1.2.1 控制
與 PwDE 相關的使用者文件必須包含PwDE名稱、類型及任何能將之唯一識別的額外資訊。

8.1.3 UD.1.3 - 支援期間(文件)

8.1.3.1 控制

與 PwDE 相關的使用者文件必須包含製造商提供的技術安全支援類型,以及使用者可預期處理漏洞並獲得安全更新的支援期限。

8.1.4 UD.1.4 - 安全設定(文件)

8.1.4.1 控制

與 PwDE 相關的使用者文件必須包含關於 PwDE 初期調試期間及整個生命週期所需措施的詳細資訊,以確保其安全使用。

8.1.5 UD.1.5 - 修改的後果(文件)

8.1.5.1 控制

與 PwDE 相關的使用者文件必須包含詳細說明修改 PwDE 如何影響資料安全。

8.1.6 UD.1.6 - 更新安裝(文件)

8.1.6.1 控制

與 PwDE 相關的使用者文件必須包含如何安裝安全相關更新的詳細資訊。

8.1.7 UD.1.7 - 安全除役(文件)

8.1.7.1 控制

與 PwDE 相關的使用者文件必須包含關於產品安全除役的詳細資訊,並包含數位元素,包括如何安全移除使用者資料的說明。

8.1.8 UD.1.8 - 自動更新預期安裝事項(文件)

8.1.8.1 控制

與 PwDE 相關的使用者文件必須包含詳細說明如何關閉自動安裝安全更新的預置設定。

8.1.9 UD.1.9 - 安全整合(文件)

8.1.9.1 控制

與 PwDE 相關的使用者文件必須包含詳細說明 PwDE 用於整合至其他數位元件產品的位置,以及整合者符合基本要求所需的資訊。

參考文獻:參見原指引。
附錄A:參見原指引內容。
附錄B:參見原指引內容。

(全篇竟)