醫療器材網路資安風險管理概述（十之二）

參見標準：ANSI/AAMI SW 96:2023器材製造商的資安風險管理
（見前篇）

© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

4. 共通要求

（參見ISO 14971:2019，圖1）（見【醫療器材風險管理邁步走】）

l   風險分析：增加考慮保全/資安風險估計

l   風險評估：增加考慮保全/資安風險引起潛在安全衝擊

l   風險控制：增加考慮保全措施帶來的風險控制措施，務求完整性

l   整體剩餘風險：增加考慮保全/資安措施帶來的剩餘風險

l   風險審查：增加考慮保全/資安風險審查

l   生產及後生產活動：增加考慮保全/資安風險

管理階層責任：

納入保全/資安風險、予以定義、參照法規訂定準則、定期審查成效與待改進事項。

保全/資安人員專業能力：

組織能力納入考量醫療器材保全/資安風險任務所需之專業能力、知識、經驗、使用、涉及技術、安全與保全/資安風險管理技能。

保全/資安風險管理計畫：

1)    共通要求：a) 保全/資安風險管理範圍；b)指派角色與責任；c)建立第三者軟體管理計畫，包括文件化與分析；d)評鑑第三者軟體產品/元件供應商，關注既有程序，以保障設計過程安全及維持醫療器材實地狀況；e) 凡從第三者軟體供應商交付的產品/元件皆須評鑑保全漏洞，是否與自身產品的保全功能設計要求、保全/資安風險評鑑、測試方法學相匹配；f)定期審查保全/資安風險管理活動的計畫；g)建立保全/資安風險的可接受性準則；

2)    保全/資安風險分析：a)挑選產品保全標準以考量與實施到醫療器材整個生命周期； b) 為醫療器材整個生命周期建立威脅模式，以利及早發現威脅，帶出相關保全/資安風險控制措施及訂定保全設計要求；c)建立組織容納體量以識別及偵測醫療器材整個生命周期的保全漏洞；

3)    保全/資安風險評估：建立保全評鑑策略（類型、次數、措施如測試、分析編碼等）；在醫療器材開發階段執行保全測試（應用面、界面、硬體、韌體）以識別與偵測保全漏洞；

4)    保全/資安風險控制：識別、設計、實施合宜之保全/資安風險控制措施；查證實施該等措施的有效性；

5)    整體剩餘保全/資安風險：決定整體剩餘保全/資安風險可否接受。

6)    保全/資安風險管理審查：研擬保全/資安風險管理報告。（參見SW96附錄C）

7)    生產及後生產活動：

a)各類漏洞監督過程以識別潛在新型態保全/資安風險，無論自家軟體或第三者軟體元件皆須監督；

b)建立保持對新威脅的感知過程（例如：建立威脅情報計劃或利用 ISAO 或類似組織的成員資格以獲得威脅情報來源，從而保持該等意識）；

c) 保全事件回應計劃；

d)漏洞揭露和溝通計劃，包括考慮協調漏洞揭露過程；

e)建立客戶溝通過程（例如：營運環境假設、修補程式管理溝通、軟體材料清單（SBOM software Bill of Materials））；

f) 定期審查保全/資安風險控制和保全環境，確保所有保全/資安風險都已納入考慮，已做成所有保全/資安風險控制活動；

g) 識別漏洞及保全修補程式的開發、測試和部署.

醫療器材生命周期內變更計畫時，應將變更紀錄保存於保全/資安風險管理檔案內。

4.5供應鏈管理

製造商應建立、文件化、維持系統以監督、收集、審查醫療器材保全性質相關的供應鏈資訊。供應鏈風險管理要求事項須紀錄在保全/資安風險管理檔案內。

文件化應包括保全/資安風險分析醫療器材保全性質相關的各項採購活動及購入產品和服務，如：

a) 放入醫療器材的第三者軟體及其它軟體環境以利器材運作；

b)硬體 ；

c)第三者提供的服務，如：開放式基礎架構、補釘服務，目的在減少保全/資安風險；

d)軟體元件引起的傳輸事項，如：內含防毒軟體將資料傳遞至外部伺服器。

該文件化系統應包括上述各要素的詳細資產清單。

4.6第三者設計或製造的醫療器材

即使委外設計與/或生產一部份或全部醫療器材，製造商仍須關注該等器材處理保全/資安風險事項。

製造商須識別保全/資安風險管理何項條款（如：寫入合約中）適用委外設計或製造的部件及須提供的文件。製造商須紀錄係稱第三者交付內容達成保全/資安風險管理要求的事項。

合約要求事項雖不在資安風險管理交付事項範圍，但可供區分已交付事項的各自負責資安風險管理項目。

4.7保全/資安風險管理檔案

該檔案須包括每一個醫療器材系統（及次系統）的系統圖樣，信任邊界限定區隔，以辨別保全/資安風險管理活動。製造商亦可擴大追溯性區域，以利自身威脅模型識別源頭。

保全/資安風險管理檔案應就各識別之保全漏洞，提供下列相關事項之可追溯性：保全/資安風險分析、保全/資安風險評估、保全/資安風險控制措施之實施與查證、及保全剩餘風險評估結果。

5 保全/資安風險分析

5.1保全/資安風險分析過程

醫療器材製造商應依文件化程序執行保全/資安風險分析，結果紀錄在保全/資安風險管理檔案。此處分析內容包括：識別及描述接受分析的醫療器材、識別分析執行者及組織、分析範圍。若是醫療器材增添交互操作功能，亦應予以分析，因為交互操作界面會隨著器材生命周期改變交互操作面向。

5.2 預期使用及合理可預見錯誤使用

符合ISO 14971第5.2節的文件可供保全/資安風險管理之用，須考慮威脅肇始者，利用方式、可能造成的傷害（無論有意或無意為之）。

在預期保全性質裡找出合理可預見的保全/資安風險集合須以下述方式：使用時前後環節分析、設計採用的技術與協議草案、實施安全性質的安全結構、其他系統的必要結點以達到系統預期操作功能、供應鏈監督、預估使用者訓練及使用者認知程度。

應定期審查合理可預見的保全/資安風險集合，關注其完整程度，即使面對新揭露的漏洞，須足以決定保全結構仍然有效。

再考慮合理可預見的錯誤使用，某些終端使用者群體可能不足以實施（或知曉）某種保全良好實務（即使是資安界經常運用該等技巧），結果就是威脅模型及保全/資安風險分析須納入下列已部署系統之合理可預見的使用者環境下的保全/資安風險：

l   保全突發事件管理未遵循最佳實務

l   由於終端使用者錯誤使用而導致照護場所的錯誤配置或替代式配置

l   未執行隨附文件中明訂的定期維護事項

l   不安全的操作環境

5.3 識別保全相關資產及特徵

製造商應識別醫療器材的資產、定量型及定性型特徵，如：軟體支援驅動的資產、架構、通訊協定、與外部實體的通訊，凡是會影響醫療器材的保全性，予以文件化，且須放入保全/資安風險管理檔案。

製造商可以記錄不可修改的系統構成的部分事項（例如：嵌入式軟體和中央處理單元 CPU）的特徵係如何影響系統保全/資安風險。

製造商應識別並記錄醫療器材預期使用所定義的使用環境的安全特徵。

5.4 識別保全漏洞及威脅

製造商應識別醫療器材涉及的保全漏洞，包括採用的內置第三者配件（包括軟體及硬體），按照預期使用、合理可預見的錯誤使用、保全相關的特徵，凡是正常情況及單一故障情況皆須考慮，且須放入保全/資安風險管理檔案。

製造商宜使用威脅建模技術協助識別醫療器材涉及的潛在保全漏洞。識別出來的每一項保全漏洞，製造商應縱觀會產出威脅的序列事件或組合事件，識別並記錄威脅的結果在保全/資安風險管理檔案。若係軟體元件漏洞（包括不明來源第三者軟體SOUP、硬體次級元件），得參考第三者提供的威脅分析資訊，例如：揭露漏洞的作者或第三者元件的製造商。

5.5估計保全/資安風險

從識別出的每一項保全漏洞之可獲得資訊或資料，製造商應估計其相關保全/資安風險，須估算該漏洞之遭利用程度、潛在衝擊可信任性、完整性、假如成功利用該漏洞的可用性，須記錄上述風險在保全/資安風險管理檔案。

6. 保全/資安風險評估

凡屬系統內的醫療器材，或者自身是系統或其中的部份，製造商皆應從前後環節評估保全/資安風險，宜考慮系統間（尤指醫療組織與顧客間的前後環節）分枝出來的保全/資安風險而影響到醫療器材或其他器材。

主要評估原則與準則

l   以病患安全為首要考量（Patient Safety First），網路保全問題可能導致醫療器材功能異常，間接危害病患生命。因此安全評估不僅是資訊安全問題，更是臨床風險管理的一部分。

l   強調穩健的安全架構、風險導向管理、全生命周期（TPLC, total product life cycle）治理和透明度。​

l   本質保全設計（Secure by Design）：在產品設計階段即嵌入資安防護，而非事後補救。

l   全生命周期保全管理（TPLC Security）：涵蓋設計、生產、臨床使用、查證、確證、放入市場、維修、更新、處置與銷毀（後生產）各階段。例：不可僅在出廠前「掃毒一次」，而應持續更新與監督。

l   持續監督與更新：評鑑應以潛在漏洞與威脅對病患與器材（或連接器材的系統）的風險等級為依據，採取對應控制措施。建立漏洞監督、補丁機制與末期的保全終止支援階段計畫（End-of-Support Plan）。

l   威脅建模（Threat Modeling）：以系統化的方法，用來識別、優先排序、分析潛在攻擊者、目標與攻擊手段，預測可能弱點，緩解潛在的安全威脅。它涉及模擬攻擊者的視角，分析系統的弱點並預測可能的攻擊路徑。

【註：《威脅建模》源於微軟的STRIDE模型（Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege），參見附錄D5.2節說明。該建模過程及作業是保全管理工程的核心工具。長期來看，它有助於在系統開發階段（SDLC）本質保全設計（Security by Design），避免事後修補的高昂成本。過程包括：繪製資料流程圖（DFD）、識別威脅、評鑑風險（如使用DREAD模型：Damage、Reproducibility、Exploitability、Affected Users、Discoverability），並提出對策。】

l   基於風險做出決策（risk-based approach）：採用 ISO 14971過程思維，量化衝擊與可能性評估。評估應以潛在威脅對病患與系統的風險等級為依據，採取對應控制措施。

l   透明化與可追溯性（Transparency and Traceability）：須提供醫院、使用者、主管機關清楚且記錄明確的資安文件與更新紀錄。

6.1 評估每一個保全/資安風險

製造商應評估每一個保全/資安風險，依保全/資安風險管理計劃文件化準則的要求，決定是否應予減低。

評估時考慮保全/資安風險控制係處理保全/資安風險跨越單一故障點（在系統內，或系統中的系統）的情況，保全/資安風險控制係減低保全/資安風險跨越自身系統（使用策略型控制手段如：縱深防禦，摧毀鏈邏輯，贅餘式保全/資安風險控制等；建立威脅模型有助了解保全/資安風險如何跨越系統），宜納入評估階段考慮。

若認為可接受保全/資安風險，毋須採取應對措施，將其歸類為剩餘保全/資安風險。

若認為保全/資安風險不可接受，製造商應採取保全/資安風險控制活動，如SW96相關節次所述。將評估結果紀錄在保全/資安風險管理檔案。

6.2 由潛在安全衝擊評估各項保全/資安風險

每一個保全/資安風險皆須評估其潛在安全衝擊。

保全/資安風險會引致危險情況者應傳達到安全風險分析團隊。

任何型式的額外安全控制皆須評估其潛在安全衝擊。

（未完，見續篇）