將新的FDA醫療器械指南納入企業資訊保安計劃

美國政府法律、法規和指導方針通常無法像技術社群那樣迅速發展，在很多時候，甚至遲遲未能及時響應人們期望已久的緊迫的需求。因為政府需要考慮很多不同的利益相關者（包括國際社會）以及新指導方針可能對他們帶來的影響，例如對行業以及對整個產品生命週期的影響。

在預防和防止資料洩露方面，以及確保複雜業務和醫療系統和裝置方面，醫療行業面臨巨大壓力。在本文中，我們將討論美國食品和藥物管理局（FDA）製造商醫療器械網路安全指南以及企業應如何將其納入資訊保安計劃。

FDA醫療器械網路安全指南

2016年12月，FDA釋出新的醫療器械指南《醫療器械網路安全市場管理》。該指南具有相當高的水平，構建在NIST和其他機構的研究之上。它涵蓋一般原則、風險管理、修補和報告漏洞、報告要求、參與資訊共享和分析組織，以及有效市場安全計劃的要素。所有這些方面都旨在涵蓋裝置的整個軟體開發生命週期，以及硬體開發，並提供建議指導如何將安全納入裝置開發一直到患者護理環境中裝置部署–這涉及監控和更新裝置。

FDA製造商醫療器械指南中的一個章節列舉了不受控制裝置危害以及補救措施。其中的一個例子是未經授權使用者重新程式設計心臟起搏器的風險，這在此前報導的St.Jude Medical的裝置中出現。

如何將該指南納入企業安全計劃

為了充分發揮FDA醫療器械指南的作用，企業需要將其納入到資訊保安計劃中，作為裝置製造商需要滿足的要求。否則，考慮到該指南的約束性，很少醫療器械製造商會採取實際行動來確保醫療IT器械的安全性。個人可能會想要調查他們使用的某些醫療器械，並檢視它們是否遵守FDA指南。

該指南實際的另一個領域是額外的部署細節或硬要求，例如要求參與資訊共享和分析組織。

FDA醫療器械指南提供了很多好建議，包括企業應該將具有IT元件的醫療器械作為其IT基礎設施的重要部分。企業應該開始在其資訊保安和IT風險管理計劃中涵蓋醫療器械，並適當地對這些裝置實施標準安全控制。企業可測試這些裝置的安全性，通過漏洞掃描、網路監控等。

FDA還建議從漏洞利用的角度評估對患者的風險危害。該評估應包括評估特定醫療器械的網路停機時間的風險，以及確保企業連續性和災難恢復計劃部署到位，讓企業知道如何在此類事件中做出響應。企業還應確保只有授權使用者可對裝置的設定（例如起搏器）進行更改，以讓患者在植入裝置時感到放心。

結論

醫療保健網路和生態系統多樣且複雜，包含很多不同型別的裝置，包括需要高水平安全來保護人們和敏感資料的傳統系統。健康保險可攜性與責任法案已經是20多年的立法標準，但我們還需要更加具體的指導方針來跟上快速變化的環境。

本文轉自d1net（轉載）