将新的FDA醫療器械指南納入企業資訊安全計劃

美國政府法律、法規和指導方針通常無法像技術社群那樣迅速發展，在很多時候，甚至遲遲未能及時響應人們期望已久的緊迫的需求。因為政府需要考慮很多不同的利益相關者（包括國際社會）以及新指導方針可能對他們帶來的影響，例如對行業以及對整個産品生命周期的影響。

在預防和防止資料洩露方面，以及確定複雜業務和醫療系統和裝置方面，醫療行業面臨巨大壓力。在本文中，我們将讨論美國食品和藥物管理局（fda）制造商醫療器械網絡安全指南以及企業應如何将其納入資訊安全計劃。

fda醫療器械網絡安全指南

2016年12月，fda釋出新的醫療器械指南《醫療器械網絡安全市場管理》。該指南具有相當高的水準，建構在nist和其他機構的研究之上。它涵蓋一般原則、風險管理、修補和報告漏洞、報告要求、參與資訊共享和分析組織，以及有效市場安全計劃的要素。所有這些方面都旨在涵蓋裝置的整個軟體開發生命周期，以及硬體開發，并提供建議指導如何将安全納入裝置開發一直到患者護理環境中裝置部署--這涉及監控和更新裝置。

fda制造商醫療器械指南中的一個章節列舉了不受控制裝置危害以及補救措施。其中的一個例子是未經授權使用者重新程式設計心髒起搏器的風險，這在此前報道的st.jude medical的裝置中出現。

如何将該指南納入企業安全計劃

為了充分發揮fda醫療器械指南的作用，企業需要将其納入到資訊安全計劃中，作為裝置制造商需要滿足的要求。否則，考慮到該指南的限制性，很少醫療器械制造商會采取實際行動來確定醫療it器械的安全性。個人可能會想要調查他們使用的某些醫療器械，并檢視它們是否遵守fda指南。

該指南實際的另一個領域是額外的部署細節或硬要求，例如要求參與資訊共享和分析組織。

fda醫療器械指南提供了很多好建議，包括企業應該将具有it元件的醫療器械作為其it基礎設施的重要部分。企業應該開始在其資訊安全和it風險管理計劃中涵蓋醫療器械，并适當地對這些裝置實施标準安全控制。企業可測試這些裝置的安全性，通過漏洞掃描、網絡監控等。

fda還建議從漏洞利用的角度評估對患者的風險危害。該評估應包括評估特定醫療器械的網絡停機時間的風險，以及確定企業連續性和災難恢複計劃部署到位，讓企業知道如何在此類事件中做出響應。企業還應確定隻有授權使用者可對裝置的設定（例如起搏器）進行更改，以讓患者在植入裝置時感到放心。

結論

醫療保健網絡和生态系統多樣且複雜，包含很多不同類型的裝置，包括需要高水準安全來保護人們和敏感資料的傳統系統。健康保險可攜性與責任法案已經是20多年的立法标準，但我們還需要更加具體的指導方針來跟上快速變化的環境。

本文轉自d1net（轉載）