2022.4.8，FDA发布了一则网络安全指南草案，草案名称为“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”（简称2022指南草案）。

目前2022指南草案正在征集意见中，意见征集截止时间为2022.07.07。

此指南草案取代了2018年网络安全指南草案“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”（简称2018指南草案）。目前最终版的网络安全指南还是2014年发布的与2018指南草案同名的指南。

该指南草案旨在进一步强调确保设备设计安全的重要性，旨在减轻整个产品生命周期中新出现的网络安全风险，并明确概述FDA对解决网络安全问题的上市前递交文档的建议。该指南草案不是最终版本，目前不强制实施。

「2022指南草案发布背景」

随着无线、互联网和网络连接设备、便携式介质(例如USB或CD)的使用日益增加，以及医疗设备相关健康信息的频繁电子交换，对有效的网络安全以合理地确保医疗设备的安全性和有效性的需求变得更加重要。

此外，医疗行业面临的网络安全威胁变得越来越频繁、越来越严重，对临床的潜在影响也越来越大。网络安全事件导致医疗设备和医院网络无法运行，中断了美国和全球医疗机构的患者护理服务。这种网络攻击和利用可能会延误诊断和/或治疗，并可能导致患者受伤。

尽管FDA在2014年发布了一则最终指南，为上市前申请中的设备网络安全信息提供了建议，但由于形势的快速发展，以及对威胁及其潜在缓解措施的日益了解，使得更新方法势在必行。因此，FDA在2018年发布了一则名为“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”的指南草案。

鉴于快速发展的设备网络安全形势，FDA发布该指南草案，取代2018年指南草案，以进一步强调确保设备设计安全的重要性，旨在能够在整个产品生命周期内缓解新出现的网络安全风险，并明确概述FDA对上市前提交内容（包括设备标签）的建议，以解决网络安全问题。这些建议可以促进高效的上市前审核流程，并有助于确保上市的医疗设备能够充分抵御网络安全威胁。

「2022指南草案与2018指南草案的变更点」

2022指南草案进行了多项变更，包括：

1、更改标题以更好地反映当前指南草案的范围；

2、更改文档结构以符合安SPDF的使用（SPDF即Secure Product Development Framework，安全产品开发框架，SPDF是一组流程，用于在整个设备生命周期内减少产品中漏洞的数量和严重程度）；

SPDF包含了产品生命周期的所有方面，包括开发、发布、维护和退市。此外，在设备设计过程中使用SPDF流程，可以避免在市场销售和分销之后添加基于连接的特性时，或者当漏洞导致无法控制的风险时，对设备进行重新设计。SPDF可以与产品和软件开发、风险管理以及质量体系的现有过程集成在一起。

3、删除风险层（risk tiers）；

4、用软件材料清单（Software Bill of Materials）替换网络安全材料清单（Cybersecurity Bill of Materials）；

5、对指南草案中有关上市前提交文档进行补充说明；

6、将研究设备豁免（IDE）添加到适用范围中。

「递交文档相关重大变更」

2022指南草案中，递交文档有以下重大变更：

1、风险管理文档：需要同时递交安全风险计划和报告，即security risk management plan and security risk management report，包括系统威胁建模（threat modeling）、SBOM和相关文档，以及遗留问题评估，应足以支持安全风险管理过程方面确保安全有效。

请注意，2022草案指南中，详细描述了威胁建模的要求，以及第三方软件组件的软件材料清单的要求。

2、FDA建议上市前提交的文件应包括系统水平的安全架构（security structure），旨在向FDA提供系统的接口、互连和与外部实体的交互方面的安全性和信任边界。

这些元素的详细信息可以识别系统中可能被攻击的部分，并以视图“review”（至少包括Global System View; Multi-Patient Harm View; Updateability/Patchability View; 以及Security Use Case View(s)）的方式呈现。

这几个视图的要求包括：

• Identify security-relevant system elements and their interfaces;

• Define security context, domains, boundaries, and external interfaces of the system;

• Align the architecture with (a) the system security objectives and requirements, (b)

security design characteristics; and

• Establish traceability of architecture elements to user and system security requirements.

3、应递交安全测试文件和任何相关的报告或评估，包括：

1)漏洞测试：包括以下与已知漏洞相关的测试：

2)渗透测试：应该通过着重于发现和利用产品中的安全漏洞的测试来识别和描述与安全相关的问题。

4、标签应包括以下15项信息：

1)与预期使用环境(例如，反恶意软件、防火墙的使用、密码要求)相关的建议网络安全控制的设备说明和产品规格。

2)为用户提供足够详细的图表，允许其实施推荐的网络安全控制。

3)预计接收和/或发送数据的网络端口和其他接口的列表。此列表应包括端口功能的描述，并指示端口是传入、传出，还是两者兼有，以及批准的目的端点。

4)为用户提供有关支持基础设施需求的具体指导，以使设备能够按预期操作(例如，最低网络需求，支持的加密接口)。

5)SBOM或按照行业公认的格式，有效地管理其资产，了解已识别的漏洞对设备(以及所连接的系统)的潜在影响，并部署对策，以维护设备的安全性和有效性。制造商应持续地向用户提供或提供SBOM信息。如果使用在线门户网站，则应提供最新的链接。SBOM应该是机器可读的格式。

6)用户下载可识别版本的制造商授权软件和固件的系统步骤的描述，包括用户如何知道软件何时可获取的描述。

7)描述设计如何使设备在检测到异常情况(即安全事件)时做出响应，以保持安全性和有效性。这应该包括通知用户和记录相关信息。安全事件类型可以是配置更改、网络异常、登录尝试或异常流量(例如，向未知实体发送请求)。

8)对保护关键功能(如备份模式、禁用端口/通信等)的设备特性的概述。

9)备份和恢复特性以及恢复身份验证配置的过程的描述。

10)通过身份验证的授权用户保留和恢复设备配置的方法的描述。

11)描述已发货设备的安全配置，讨论设备制造商可能已经实现的加固选项的风险权衡，以及用户可配置更改的说明。安全配置可能包括端点保护，如反恶意软件、防火墙/防火墙规则、允许列表、拒绝列表、安全事件参数、日志参数和物理安全检测等。

12)在适用于预期使用环境的情况下，描述如何捕获取证证据，包括但不限于为安全事件保存的任何日志文件。日志文件描述应该包括日志文件的位置、存储、回收、归档的方式和位置，以及自动分析软件(例如，入侵检测系统，IDS)如何使用日志文件。

13)在适当情况下，提供允许安全网络部署和服务的技术指导，以及在检测到网络安全漏洞或事件后如何应对的用户指导。

14)有关设备维护终止和生命终止的网络安全信息(如已知或预期)。在维护结束时，制造商可能不再能够合理地提供安全补丁或软件更新。如果设备在维护结束后仍在使用，制造商应有预先建立和沟通的流程，以转移风险，强调终端用户的网络安全风险可能会随着时间的推移而增加。

15)通过对敏感的、机密的和专有的数据和软件的产品进行消除来安全解除设备的信息。

5、递交漏洞沟通计划（vulnerability communication plans），包括以下内容：

1)责任人员；

2)监控和识别漏洞的来源(例如，研究人员、NIST NVD、第三方软件制造商等)、方法和频率;

3)定期进行安全测试，以测试识别出的漏洞影响;

4)开发和发布补丁的时间表;

5)升级流程;

6)修补能力(即，升级可以传送到设备的速度);

7)描述他们的协同漏洞披露过程;和

8)描述制造商打算如何向客户传达即将到来的补救措施、补丁和更新。