歐盟醫療器械CE認證有關(guān)網(wǎng)絡(luò )安全的指導原則：MDCG2019-16 醫療器械網(wǎng)絡(luò )安全指導原則

醫療器械協(xié)調工作組（MDCG）前期發(fā)布了“醫療器械信息安全指南, 2019年12月”。該指南不具有法律約束力，但公告機構必須遵循。這意味著(zhù)您作為制造商也需要遵循。不幸的是，該指南并未就如何處理該問(wèn)題提出明確的框架，而是概述了也可在其他資源中找到的要求和方法，例如：

uISO /IEC 80001-1風(fēng)險管理在包含醫療器械的IT網(wǎng)絡(luò )中的應用

uIEC /TR 80001-2-2風(fēng)險管理在包含醫療器械的IT網(wǎng)絡(luò )中的應用第2-2部分：醫療器械安保需求、風(fēng)險和控制的披露和溝通指南。

uAAMITIR 57醫療器械安保原則-風(fēng)險管理

MDCG指南把MDR一般安全和性能要求（GSPR）關(guān)聯(lián)了起來(lái)。介紹了深度防御，良好網(wǎng)絡(luò )安全防范 （FDA指導中的基本安全防范）以及網(wǎng)絡(luò )安全風(fēng)險與產(chǎn)品安全風(fēng)險之間的關(guān)系這樣一些概念。

還引入可用性工程與網(wǎng)絡(luò )安全之間的聯(lián)系：脆弱性被視為合理可預見(jiàn)的濫用的促成因素。

MDCG指南提出了6個(gè)最佳實(shí)踐，主要使用了ISO 13485和IEC 62304中的設計和維護過(guò)程中步驟：

1 管理上的安全

-ISO13485 4.1，用于安全風(fēng)險管理過(guò)程；

-IEC62304 5.1：軟件開(kāi)發(fā)計劃；

-IEC62304 6.1：軟件維護

2 安全要求規范

-IEC62304 5.2：軟件需求分析 

3 通過(guò)設計確保安全，包括深度防御

-IEC62304 5.3：軟件體系結構；

4安全實(shí)施

-IEC62304 5.4：軟件詳細設計；

-IEC62304 5.5：軟件實(shí)施和單元驗證；

-以及SOUP管理的正確性

5安全驗證和確認

-IEC62304 5.6：軟件集成測試；

-IEC62304 5.7：軟件系統驗證； 

6安全相關(guān)問(wèn)題的管理

-IEC62304 6.2：?jiǎn)?wèn)題和修改分析；

-IEC62304 9：?jiǎn)?wèn)題解決

7安全更新管理

-IEC 623046.3：修改實(shí)施；

-IEC62304 8.2：變更控制；

8 安全準則

-5.8軟件發(fā)布；

-以及軟件文檔，請參閱IEC 82304-1第7節。

指南也提到驗證與確認 

安全驗證和確認測試的主要手段還是測試，方法可以包括安全功能測試、模糊測試，漏洞掃描和滲透測試。額外的安全測試可以通過(guò)使用安全的代碼分析工具和工具,掃描開(kāi)放源代碼和庫中使用的產(chǎn)品,確定組件與已知問(wèn)題。 

指南也描述了關(guān)于說(shuō)明書(shū)，PMS和警戒等內容。

IMDRF就醫療器械網(wǎng)絡(luò )安全發(fā)布的官方指南——《醫療器械網(wǎng)絡(luò )安全原則與實(shí)踐》（Principles and Practicesfor Medical DeviceCybersecurity），這個(gè)在全球監管協(xié)調方面具有重要且特別的意義。