醫療器材網路資安風險管理概述（十之一）

參見標準：ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

前言

該標準由AAMI醫療器材保全/資安工作組開發。

管理醫療器材整個生命周期的資安風險是個愈來愈複雜的挑戰。為了經濟效益且高效率地開發醫療器材和系統，在醫療器材開發過程中使用更多的商業第三方組件變得愈來愈普遍，特別是對於打算連接到網路的醫療器材。結果是，即使醫療器材沒有改變，醫療器材的整體資安風險仍會隨著時間推移而出現變化。產業從業人員須了解新的漏洞資訊，積極尋找有關新威脅的資訊，評鑑風險並採取適當的措施。

因此，醫療器材的資安風險管理是一項完整的產品生命周期活動。

本文旨在根據相關的標準和準則，如：AAMI TIR57 和 TIR97，提供的指引建立要求，該等指引涉及醫療器材製造商應如何在 ISO 14971 定義的風險管理架構內管理醫療器材整個生命周期的資安風險。

 

簡介

SW96專注在醫療器材整個生命周期保全/資安（security）風險提供指引。

• ISO 14971 醫療器材風險管理過程，適用醫療器材、醫療器材軟體、IVD醫療器材。
• AAMI TIR57 醫療器材設計階段生命周期保全/資安風險提供指引。
• AAMI TIR97 醫療器材後市場階段保全/資安風險提供指引。

《傷害harm》定義參見

• ISO 14971，§3.3：對人們健康的損傷或損害，或對財產或環境的損害。包括實體或軟體損害。
• ANSI/AAMI/IEC 80001資訊技術標準系列，擴展上述定義，納入「降低有效性、洩露資料、系統資安漏洞」。
• AAMI TIR 57, 圖2：保全/資安與安全關聯圖
• SW96附錄B比較保全/資安與安全風險管理的同異點。
• ISO/TR 24971提及生產與後生產活動的三個過程：
• §10.2 收集資料
• §10.3 資訊審查
• §10.4 採取措施。

SW96強化上述三個過程，參見附錄A到F。

 

1範圍

SW96旨在協助醫療器材製造商及各種標準的各種使用者以下面向：

• 識別涉及醫療器材（及其附件、供應鏈的供應商）的威脅、漏洞、資產；
• 估計、評估涉及的保全/資安風險；
• 決定合宜的保全/資安風險管制措施以減少保全/資安風險；
• 查證、監督保全/資安風險管制措施的有效性；
• 建立涵蓋企業整個範圍的過程來管理與使用者和其他利害相關者的後生產保全之交互作用，以確保用於提供醫療護理的醫療器材和系統的保全；
• 建立設計特性，以實現保全/資安風險的生產和後生產管理，並與醫療保健交付組織（HDO） 網路保全策略和技術或其他操作前後環節有效果地整合；
• 與醫療保健交付組織（HDO）溝通保全/資安風險；
• 了解製造商向在使用者環境中部署醫療器材的人員傳達保全/資安期望和溝通；
• 管理和監督現場醫療器材的實施過程，其中包含下列一或多項：

（1）傳統軟件（包括固有元件）、

（2）可編輯程序邏輯，

（3）保全/資安漏洞硬件；

• 保全/資安風險管理實施過程，以 

（1） 評鑑保全/資安風險以決定何時需要採取措施，以及 

（2） 協調保全/資安風險管理過程；

• 與醫療保健交付組織（HDO）協調保全/資安風險管理活動；
• 開發、實施及運作協調過的漏洞揭露過程；
• 管理醫療器材資安補釘的實施過程；
• 規劃醫療器材除役。
• SW96適用於醫療器材的整個生命周期，包括：設計、生產和後生產階段。 終止支援 （EOS, End of Support）和保證終止支援 （EOGS, End of Guaranteed Support）是醫療器材後生產階段的里程碑，可能會根據不同的市場和司法管轄區域因素而有所不同。

SW96補強ISO/TR 24971第10章（參見介紹ISO/TR 24971文章），添加預做準備和監督各種威脅與偵測漏洞的評鑑方式，該法參見AAMI TIR57第9章，「生產和後生產資訊」。

 

2 參考文件與標準：

• ISO 14971:2019醫療器材風險管理過程。（參見介紹ISO 14971文章）
• FDA指引：Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions 醫療器材的網路保全：品質系統考量和上市前申請時須提交的內容 (2023)，明確規範開發者須提供威脅模型、軟體物料清單（SBOM）、漏洞管理程序等必要文件。
• ISO / IEC 80001 系列標準：Risk management for IT-networks incorporating medical devices包含醫療器材的資訊技術(IT)網路之風險管理，強調醫療院所在網路整合時的風險承擔、分配與管理作業的實務要項。
• ISO 81001-1：2021 健康資訊學—健康軟體與健康資訊科技系統的安全、效能與保全—第一部分：原則與要點。
• AAMI TIR57:2016：Principles for medical device security—Risk management醫療器材安全原則—風險管理，建立從威脅辨識到風險控制的完整流程。
• NIST SP 800-53 / 800-82：Security Controls for Industrial and Healthcare Systems工業和醫療保健系統的保全控制，提供技術控制列表，如：存取控制、監督、加密等慣用技術；
• IMDRF N60 (2020)：Principles and Practices for Medical Device Cybersecurity醫療器材網路保全/資安的原則與實務，建立跨越國境而推動一致性的資訊保全/資安架構。
• ISO/IEC 27036-3:2023, 網路保全/資安—供應商關係—第三部分：硬體、軟體與服務供應鏈安全指引

 

3 名詞定義

隨附文件accompanying documentaiton：醫療器材隨附的材料，其中包含負責醫療器材安裝、使用、維護、退役和處置的使用者資訊，特別是有關安全使用的資訊。

l   隨附文件可以包括使用說明、技術說明、安裝手冊、快速參考指南等。

l   隨附文件不一定是書面或印刷文件，但可能涉及聽覺、視覺或觸覺材料以及多種媒體類型。

資產asset：對個人、組織或政府有價值且需要保護的資源或元素，可以是實體或數位實體，如：資料、軟體、知識產權、人員、實體設備、應用程式、資料庫、網路架構，甚至是雲端服務等。資產是保全/資安管理的起點，因為保全的目標就是保護該等資產免受損失、洩露或破壞。

【註：《資產》的概念源於風險評鑑架構（如ISO 27001標準），強調資產的價值（Value）、脆弱性（Vulnerability）和威脅（Threat）。組織必須先盤點資產，評鑑其重要性（例如：機密性、完整性和可用性，簡稱CIA原則），然後制定保護策略。長期來看，資產管理有助於避免因忽略關鍵資源而導致的系統崩潰或經濟損失。】

攻擊attack：試圖破壞、曝露、更改、禁用、竊取或未經授權訪問或未經授權使用資產。

攻擊面attack surface：所有能被潛在攻擊者利用來入侵或破壞資訊及保全/資安系統的進入點、途徑或漏洞，包括系統中（軟體、硬體、網路接口和使用者互動）的所有潛在進入點，如：公開的應用介面、網頁漏洞、遠端桌面存取權限，甚至是員工電腦的弱保全/資安設定。這是系統保全性的度量指標，攻擊面越大，系統越容易被攻擊。

【註：《攻擊面》源於軟體工程和網路保全概念，強調最小化曝露以降低風險（Principle of Least Privilege）。長期來看，攻擊面的擴大往往伴隨系統複雜度的增加，例如：雲端遷移或API整合會引入新的進入口。保全管理工程透過攻擊面分析（Attack Surface Analysis）來識別並縮小這些進入點，例如；移除不必要的接點、端口、或更新軟體補丁。】

證明為真authentication：提供保證實體所聲稱的特徵是正確的。

授權authorization：授予權限，包括授予存取資料和功能的權限。

l   授予權限，包括根據存取權限授予存取權限。

可用性（可獲得性）availability：得到授權的某個實體可視需要存取和使用的屬性

受益benefit：使用醫療器材對個人健康的積極衝擊或預期結果，或對患者管理或公共健康的積極衝擊。

l   受益可以包括對臨床結果的積極衝擊、患者的生活品質、與診斷相關的結果、診斷器材對臨床結果的積極衝擊、或對公共健康的積極衝擊。

補償型風險控制措施 compensating risk control measure（補償型控制）：部署的特定類型風險控制措施，作為器材設計的一部分而實施之，以取代現有或欠缺的風險控制措施。

l   補償型風險控制措施可以是永久性的，也可以是暫時性的，例如：直到製造商能夠提供包含額外風險控制措施的更新。

機密性 confidentiality：向未經授權的個人、實體或流程不使獲得或不予披露資訊的性質

協調的弱點揭露 coordinated vulnerability disclosure, CVD：研究人員和其他利害相關者與製造商合作尋找解決之道，以降低涉及露出漏洞相關風險的過程。

l   此過程包括有關漏洞及其解決方案之報告、協調和發布資訊等措施。

資料和系統保全Data and systems security：醫療器材的運作狀態，其中資訊資產（資料和系統）受到合理保護，維持機密性、完整性和可獲得性不會逐漸變差。

有效性Effectiveness：為患者和護理提供者產生預期結果的能力。

保證支援（維修）結束end of guaranteed support, EOGS：當製造商不再提供保證全面支援（維修）時起，即開始此項生命周期階段。

l   在此項生命周期階段，製造商仍可提供某種程度的支持，但不能保證醫療器材可以保持其原本規格和性能。

支援結束 End of support, EOS：從製造商結束所有服務支援時起，即開始此項生命周期階段。

漏洞利用exploit：經由漏洞遭到所定義方法而破壞資訊系統保全/資安。

傷害Harm：傷害或對人員健康造成損害，或對適當環境造成損害，或降低有效性，或破壞資料和系保全/資安。

危害（危險）Hazard：潛在的危害（危險）源。

危險情況（Hazardous situation）：人員、財產或環境曝露於一種或多種危險的情況下。

資訊共享與分析型組織（Information Sharing and Analysis Organization, ISAO）：係指由公營或民營產業設立或受聘的各類實體或合作模式，無論為正式或非正式的形式，其運作內容包括收集、分析、溝通及自願性揭露關鍵基礎設施與多元受保護系統相關之保全資訊。此類組織旨在協助識別與掌握基礎設施安全議題及相互依賴關係，以確保其可獲得性、完整性及可靠性。

l   ISAO 傳達或披露關鍵基礎設施資訊，以幫助預防、檢測、減輕或恢復正常運作，舉凡涉及關鍵基礎設施或受保護系統相關的干擾、入侵或喪失能力問題的各類效應。

l   ISAO 自願性向其成員、地方和聯邦政府、或任何其他可能提供幫助的實體傳達或揭露關鍵基礎設施資訊。其他國家也存在類似此等的組織。

完整性Integrity：準確性和完整性的屬性。

預期使用Intended use：根據製造商提供的規格、說明內容和資訊，以使用產品、流程或服務。

l   預期的醫療適應症、患者群體、身體的某部位或與之相互作用的人體組織類型、用戶剖繪、使用環境和操作原理皆是預期使用的典型要素。

生命周期Life cycle：醫療器材生命期的所有階段的序列呈現，從最初的概念構思到最終的退役和處置。

發生可能性Likelihood of occurrence：基於對給定威脅能夠利用給定漏洞的概率做出該事件分析的加權因素。

l   發生可能性結合了對威脅事件啟動可能性的估計與衝擊可能性的估計，即威脅事件導致不利衝擊的可能性。

製造商 Manufacturer: 負有醫療器材設計和（或）製造責任的自然人或法人，將之以自身名義提供獲得使用；無論該醫療器材是由該自然人或法人設計（或）製造、或由他人代其為之。

註1：此《自然人或法人》應確保符合醫療器材預期可獲得或銷售的國家或司法管轄區域所有適用法規要求，負有最終的法律責任，除非該司法管轄區的法規主管機關明確地將該責任施加於他人。

註2：製造商的責任在其他GHTF指引文件中另有描述，此等責任包括達到上市前要求和後市場要求，例如：不良事件報告和矯正措施通知。

註3：依照上述定義，《設計和（或）製造》可以包括醫療器材規格開發、生產、製造、組裝、加工、包裝、重新包裝、標籤、重新標籤、滅菌、安裝、或再製造；或為實現某一醫療目的，而將多個器材（還可能包括其他產品）組合在一起。

註4：為單個患者按照使用說明組裝或改裝由他人提供的醫療器材之任何自然人或法人，如果組裝或改裝不改變醫療器材的預期用途，就不是製造商。

註5：不是以原製造商的名義更改醫療器材的預期用途，或改動醫療器材的任何自然人或法人，使醫療器材以其名義提供使用，宜認為是修改後的醫療器材製造商。

註6：獲得授權的代表、經銷商或進口商等，若只是將其地址和聯繫方式詳細內容附加到醫療器材或包裝上，但未覆蓋或改變既有標記，不視為是製造商。

註7：在特定程度上，受到法規要求管制的醫療器材附件，負責設計和（或）製造該附件的自然人或法人，視為製造商。

醫療器材Medical Device：儀器、設備、工具、機械、器具、植入物、體外使用試劑、軟體、材料、材料或其他類似或相關物品，不論單獨使用或組合使用，由製造商預期提供人類使用，以達到下列一個或多個特定的醫療目的：

• 疾病的診斷、預防、監督、治療或緩解；
• 損傷的診斷、監督、治療、緩解或補償；
• 生理結構或生理過程的檢查、替代、調節或支持；
• 生命的支持或維持；
• 妊娠控制；
• 醫療器材的消毒；
• 通過對取自人體的樣本進行體外檢查的方式提供資訊。

並且其在人體內或人體上的主要預期效用不是通過藥理學、免疫學或代謝的方式實現，但這些方式可輔助實現預期功能。
註：在一些司法管轄區可能認為是【醫療器材】，但在另一些管轄區不認為是醫療器材的產品包括（但不限於下述）：

• 消毒物資，
• 殘障人士的輔助器具，
• 包含動物與/或人體組織的器材，
• 使用於體外受精或輔助生殖技術的器材。

密碼Password：用於查證身分或查證存取授權的字串（字母、數字和其他符號）。

後生產Post-production：醫療器材在設計完成、醫療器材製造完成後的部分生命周期。

例：運輸、儲存、安裝、使用產品、維修、修理、產品變更、處置及銷毀。

l   後期生產階段包括製造並放入庫存的器材，以及已運送給客戶並接受上市後監督的器材。

易感狀況（或《風險因子》）Predisposing condition: 在一個組織、某項任務/企業流程、企業架構、或資訊系統（包括其營運環境）中存在的狀況，有助於（即增加或減少）一個或多個威脅事件倘若因故啟動，將對組織營運和資產、個人或其他組織造成不良後果或不利衝擊的可能性。

合理可預見的誤用Reasonable foreseeable misuse: 以製造商非預期的方式使用產品或系統，但這可能是由合理可預見的人類行為引起的。

《合理可預見的人類行為》包括所有類型使用者的行為，例如：普通人（非專業使用者）和專業使用者。

《合理可預見的誤用》既可以是有意為之的，也可以是無意為之的。

剩餘風險Residual risk：風險控制後所殘留的風險。

風險Risk：傷害發生的概率和傷害的嚴重程度的組合。

《發生的概率》包括曝露於危險情況，以及避免或限縮傷害的可能性。

對於保全相關風險，通常無法確定基於統計的概率。使用代理的話，例如：可利用性或可能性評等分數亦可接受。

風險分析Risk analysis：系統地使用現有資訊以識別危害並估計風險。

風險評鑑Risk assessment：風險鑑別、風險分析及風險評估的完整過程。

風險控制Risk control：做出決定和實施措施的過程，通過該過程將風險降低到設定水準或維持在設定水準之內。

風險評估Risk evaluation：將風險分析 之結果與風險準則相比較之過程，以決定風險是否可接受（或予以容忍）。

風險管理Risk management：系統地將管理政策、程序和實踐應用於分析、評估、控制和監督風險的任務。

risk management file：風險管理產出的紀錄和文件總集合。

安全safety：免於不可接受的風險。

在SW96的上下文中，安全係指與人身損傷、或對人員健康造成的損害，或有關財產或環境的損害。

保全/資安、網路保全/資安security / cybersecurity：資訊和系統受到保護的狀態，免於受到未經授權活動的影響，例如：存取、使用、揭露、中斷、修改或破壞，其作用方式足以達到違反機密性、完整性和可獲得性相關的風險，從而在整個生命周期中保持在可接受的水準。

為了符合產業標準和新近的風險標準，SW96 遵循 ISO 81001-1：2020 的先驅成果，使用該標準中《保全/資安security》的定義。從技術上而言，《網路保全/資安cybersecurity》可以被視為《保全/資安》的一個子集，網路保全/資安涉及保護數位或電子形式的資料和資訊。然而，在實際使用中，《保全/資安》和《網路保全/資安》往往可以互換而不衝突。因此，SW96 並未單獨定義這兩個詞彙。

保全/資安事件security incident：某種違反或立即威脅，係違反保全政策、可承受的使用政策、或制度化的保全實務。

嚴重度severity：危害所可能引致後果的衡量方式。

現今技術水準state of the art：基於科學、技術和經驗的相關綜合發現，在給定時間對產品、流程和服務進行技術能力已發展到的階段。

現今技術水準體現目前和普遍接受的技術和醫學良好實務。現今技術水準並不一定意味著技術最先進的解決方式。SW96描述的現今技術水準有時被稱為「普遍認可的現今技術水準。」

威脅 threat：危險、傷害或其它非期望結果的潛在來源。違反安全性的可能性，當存在可能破壞安全性並造成傷害的情況、能力、行動或事件時，就存在這種可能性。

威脅行為者threat actor：個人或團體擺出某種威脅態勢。

威脅事件threat event：可能造成不良後果或衝擊的事件或情況。

威脅來源threat source：故意利用弱點觸發漏洞的意圖和方法，或可能意外觸發漏洞的的情況和方法。

漏洞/弱點vulnerability：資產或控制項的弱點可能受到一或多個威脅利用。

（未完，見續篇）