(見前篇)
參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)B.8 平行於可使用性工程
1990年化,人們逐漸意識到可用性錯誤對病患安全的衝擊。通常提到如下的例子:
l 醫囑輸入系統引起誤解,導致處方訂單錯誤;
l 手術開在錯誤位置;
l 拍攝X光片時,意外關閉呼吸器;
l 醫院內各常用器材的管路因直徑、接頭、顏色而易生混淆;
l 警報混亂/疲勞;
l 類似的器材但介面設計不同,導致混淆和錯誤。
上述狀況出現伊始,眾人就意識到分析人類行為的方法與傳統評鑑風險的方法不同。類似於FMEA和機率風險評鑑等類型的工具,並不會模擬由於混淆、誤解、工作流程偏差或警報混亂/疲勞而產生的錯誤。
因此,制定一套新的標準來處理此項新興領域乃當務之急。最先是2001年發布的ANSI/AAMI HE74,採用流程導向。2009年發布的ANSI/AAMI
HE75,重點在於設計元素,但也包括使用錯誤的保全/資安風險管理及可用性測試的章節。國際標準IEC 62366-1於2015年發布,取代了ANSI/AAMI
HE74,係拉近危害與安全的直接關聯。雖然上述各份文件引用ISO 14971,但其所記錄的方法以及執行此等方法所需的知識,需要與安全工程不同的技能。顯然,安全工程需要參照既有的風險管理流程,才能將新處理的風險納入既有的風險檔案,但僅僅執行傳統安全風險分析,無法充分識別透過使用者介面及系統中人為元素可能引入的所有危害。此外,可用性分析中有些面向並不直接與安全性相關。使用者滿意度、存取可及性,以及包裝設計等項目,可能不會直接與危險情境相關。類似於保全與安全之間的關係,圖B.3展示了可用性與安全性之間的關係。
(圖B.3)
事實上,這三個需求領域之間存在相互關聯性。保全/資安風險控制可能會造成使用者混淆,進而導致病患受傷。圖B.4即呈現此等意涵。雖然每個風險分析都由該領域受過良好訓練的人主持,但其他兩個領域的參與者都必須參與整個過程,因此三個觀點都必須加入到全部腦力激盪與分析。
(圖B.4)三個領域之間的相互關聯性
B.9 法規機構對安全與保全/資安風險管理的區別之認知情況
保全/資安風險管理的方法首先出現在AAMI
TIR57中,目前則在 AAMI SW96中,已獲得全球法規主管機構在醫療器材保全議題上的高度關注與參考。美國FDA在發表SW96時已認可AAMI TIR57,並在指引中提及此方法。加拿大衛生部也特別提及AAMI TIR57,並建議採用平行的方法來管理保全與安全風險。
撰寫本文時,AAMI TIR57 也被列為 IMDRF 網路保全指引圖 3 中關於全生命周期風險管理具體指引的可靠來源。雖然IMDRG文件未明確提及平行流程,但其草案圖1中採用了AAMI TIR57的安全風險管理流程步驟,明確說明本附件中保全領域獨有的細節,包括威脅、漏洞、資產及不利衝擊的識別。
代表所有歐盟成員國的醫療器材協調小組(MDCG)於2019年12月發布了MDCG 2019-16年度醫療器材網路保全指引。該份文件承認保全與安全風險管理流程中各步驟的相似性。雖然強調不需要獨立流程,但未承認需要特定方法與要求以資應對保全/資安風險,因此指出遵循相同的基本步驟,但保全/資安風險管理有其獨特面向。事實上,在附件IV中,該指引幾乎完全一致地使用AAMI TIR57中圖4的版本,說明保全/資安風險與安全風險管理過程之間的關係。亦包括兩個過程風險分析與風險控制步驟之間的交叉連結。
如所舉例所示,該方法以一系列平行流程為基礎,步驟相似,但多個關鍵方法的不同面向,已被多個監管機構認可並支持。
附錄C:保全/資安風險管理報告
C.1簡介
風險管理報告的目的是促成僅須一份文件,便足以提供所收集來的且濃縮過的有關醫療器材、技術或相關專案的核心保全/資安風險資訊。該份報告須能提供相關實體之保全/資安風險的理解,以及評鑑風險的策略與步驟概覽。該份報告須包含必要的資訊,使報告能在評鑑實體整個生命周期中定期且持續更新。此外,從設計需求到安全風險管制,再到他們所管理的風險,宜乎提供雙向可追溯性,須在報告中明確說明。
C.2 報告識別
如同其他的醫療器材風險管理報告,此份報告亦屬品質文件之一列入文件化管理,且須在整個的器材專案生命期內(包括生產、後生產、終止服務各階段)易於更新,宜比照品質文件方式具備表單、原數據、核准步驟、電子儲存等要項;除此之外,建議報告標題須納入下列元素,或者報告中皆須准予存取元數據的儲位:
l 報告標題:顯示在報告每一頁的頁頭或頁尾;
l 報告涉及之專案名稱;
l 報告總頁數:亦須出現在報告每一頁的頁頭或頁尾;
l 報告的版本:現在版本、前此版本及日期,簡述更新事項;
l 管理層引言(又稱《執行摘要》);
l 撰文者資訊:名字、職稱、簽名(或電子簽章);
l 核准者資訊:名字、職稱、簽名(或電子簽章);
C.3 報告章節
保全/資安風險報告須包括下列章節:
專案描述:
l 此描述應聚焦於資安,並強調報告中討論實體的資安相關面向。有時也適合參考其他文件(通常是品質系統中),這些文件具有更通用或不同聚焦的專案描述,以增進對專案的理解。建議此描述不應逐字重複現有描述。
資安範圍
l 包含生態系統圖及其他 IT 架構圖,展示專案的資料流程、涉及資安元素和屬性。雖然參考其他設計的現有架構圖亦屬合適,但通常適宜為報告製作資安專用的架構與生態系統圖。
l 本節須說明與專案相關的資安範圍。須同時針對專案的實體,專案與相關的內容、與資安(IT)相關的生態系統元素。若有特定超出範圍的部分,應在此節附上佐證說明;此類佐證通常是參考包含適當風險匯整過的其他文件。
風險評鑑計畫的實施
l 本節須討論用以評估專案及其涵蓋實體安全風險的方法與方法學。 該方法應包含如何判定資安威脅與漏洞的細節(例如:威脅建模方法)、如何地做、及在哪裡做出記錄,以及資安測試的規劃方案。該等測試包括正式查證與確證(V&V)、資安測試,以及與資安風險控制相關的滲透測試,此等方法皆係降低風險之用,還有安排紅隊(red teaming)挑戰既成防範效果,和其他針對誤用或濫用的資安測試。
l 本節亦須討論針對評鑑資安威脅、漏洞及資安測試進行設計變更審查、實施及文件記錄的流程。
l 若在執行與專案相關的風險分析前,已另行制定資安風險評鑑計畫文件,則本 節須引用該文件,並確認是否出現任何偏離或變更,並說明偏離理由。否則,本節須確認先前文件化的計畫是否受到採用。
l 本節須提供與專案或技術相關的其他風險評鑑計畫的參考資料及相關討論;該等參考資料可能包括資安、可用性、可靠性或其他可能相關的品質活動。
匯整評鑑後的風險
l 本節應記錄與所包含元素(包括支援版本)相關的專案資安風險。風險應包含以下細節:
n 風險描述應包含對威脅情境及由此產生風險的脆弱性的理解。
n 相關的資安風險控管,能消除、減輕、轉移、補償、接受或以其他方式處理風險。
n 與所述風險實例相關的資安風險殘餘風險的限定。 此量化可結合 CVSS 與其他風險細節或其他標準/指導文件提供的基礎方法來評分資安風險。將CVSS結合MITRE的CVSS評分準則用於醫療器材,並結合其他風險指標,包括造成特定族群的衝擊效應(對一位或多位患者造成的風險)及安全傷害的界定,是此種量化的方法之一。
n 在資安風險控制的實施前與實施後,宜於提供量化風險。CVSS 與 MITRE 醫療器材 CVSS 評分準則的環境評分,也可用來協助量化資安風險,尤其是在實施資安風險控制後。對於專案中未曾考慮過的新風險漏洞,此種量化在後生產階段進行修補時特別有用。
n 上述風險匯整須更詳細地反映資安漏洞及相關控制措施,並儲存在可維護的地點。關於資安漏洞及相關控制措施的建議細節,請參閱條款C.5及C.6。
l 視專案需求,得適當地加入與本節中明確規定的法規要求或指引的具體對齊。
資安風險的處置與接受
l 根據前述評估的風險匯整,本節須詳述任何未完成的要求、或風險處置所需的變更。若對資安殘餘風險無需處置,則本節須說明該風險的接受或轉移情形,以及任何額外的接受或轉移準則。例如:可能需要臨床專家或特定管理層簽署,才能接受殘餘風險。從系統觀點考量,以及所有利益與風險的權衡情形,在接受或轉移風險時,須予以充分考慮。
生命周期管理
本節須說明專案須如何在所包含的各種實體(意指:器材、資訊生態系統等)生命周期中評估與量化風險。此討論須包括如何從外部來源(包括訴怨事項)收集與評估新漏洞,並將其整合進相關流程與文件中。本節須討論資安監督、入侵偵測與應變,以及包括修補在內的各項修復作業。有的時候,提供參考其他描述相關功能與流程的文件可能較為適當。
本節須包含審查及/或更新本報告相關風險所需的條件或時程討論。此等條件可能包括從外部單位收到的漏洞或安全相關的訴怨。時間架構可能係每個年度進行審查。
根據專案需求,可能適當地加入與後生產階段的法規要求或指引的具體配合事項。
服務結束計畫
本節須討論醫療器材(包括已識別元件的版本)在服務結束時,如何從資安角度進行管理。特別須討論如何通知利害相關者此等事件、相關元件與資料的處理方式,以及由何人負責必要措施。同時也須考慮在決定終止服務後,當事人仍繼續使用(意指受到牽連的醫療器材、或生態系統)的風險。有的時候,提供參考其他描述相關功能與流程的文件可能較為適當。
風險結論:
在報告收尾部分須提供專案相關安全風險的最終總結內容,簡要地匯整報告內其他章節的關鍵要素。
(未完,見續篇)
