시판 전 제출물의 사이버 보안 관련 콘텐츠에 대한 FDA

차례

이 문서의 최신 버전은 2014년 XNUMX월에 발행되었습니다. 법적 성격으로 인해 FDA 지침은 그 자체로는 요구 사항을 소개하지 않지만 관련 당사자가 고려해야 할 추가 설명과 권장 사항을 제공합니다. 또한, FDA는 그러한 접근 방식이 해당 규제 요구 사항을 준수하고 사전에 당국의 승인을 받은 경우 대체 접근 방식을 적용할 수 있다고 명시합니다. FDA는 또한 해당 법률의 개정 사항을 반영하기 위해 합리적으로 필요하다고 판단되는 경우 여기에 제공된 권장 사항을 변경할 권리를 보유합니다.

규제 배경 

FDA는 미국 시장에 출시되는 의료기기와 관련된 사이버 보안 문제의 중요성이 커지고 있음을 인정합니다. 요즘에는 점점 더 많은 의료 장치가 정상적인 작동을 보장하기 위해 로컬 및/또는 글로벌 네트워크에 연결되어야 합니다. 수많은 의료 기기 역시 본질적으로 민감한 환자 관련 정보 교환에 관여합니다. 따라서 이러한 장치의 사용으로 인해 환자에게 부당한 위험이 발생하지 않도록 하는 것이 중요합니다. 의료 기기 제조업체 및 기타 당사자가 사이버 보안 문제와 관련된 잠재적 위험을 식별하는 데 도움을 주기 위해 FDA는 개발부터 시판 후까지 제품 수명 주기의 모든 단계에서 고려해야 할 가장 중요한 측면을 강조하는 현재 지침을 발행했습니다. 유지. 또한 이 문서는 의료기기 제조업체가 해당 제품의 마케팅 승인을 신청할 때 제공해야 하는 정보에 대한 규제 요구 사항에 대한 추가 설명을 제공합니다. 

본 FDA 지침의 범위는 사이버 보안 관련 문제와 관련하여 시판 전 제출에 포함될 정보를 다루고 있습니다. 문서에 따르면, 효과적인 사이버 보안 관리는 부적절한 사이버 보안으로 인해 기기 기능이 의도적 또는 비의도적으로 손상될 가능성을 줄여 환자에 대한 위험을 줄이는 것을 목표로 합니다. 

지침에 제공된 권장 사항은 다음과 같은 유형의 시판 전 제출에 적용될 수 있습니다.

첫째, FDA는 다음을 포함하여 사이버 보안 관련 문제의 맥락에서 사용되는 가장 중요한 용어 및 개념에 대한 정의를 제공합니다.

• 인증 – 장치, 해당 데이터, 정보 또는 시스템에 대한 액세스를 허용하기 위한 전제 조건으로 사용자, 프로세스 또는 장치의 신원을 확인하는 행위입니다.
• 사이버 보안 – 무단 접근, 수정, 오용, 사용 거부 또는 의료 기기에서 외부 수신자에게 저장, 접근 또는 전송되는 정보의 무단 사용을 방지하는 프로세스입니다. 
• 암호화 – 데이터가 알려지거나 사용되는 것을 방지하기 위해 데이터의 원래 의미를 숨기는 형식으로 데이터를 암호화 변환하는 것입니다. 

기본 원리들 

이 지침은 현재 규제 접근 방식의 기반이 되는 일반 원칙을 추가로 설명합니다. 문서에 따르면 의료기기 제조업체는 의료기기가 사이버 보안 측면에서 적용 가능한 규제 요구 사항을 충족하고 안전하고 효율적인 방식으로 작동하도록 보장하는 데 필요한 조치와 통제에 대한 책임을 져야 합니다. 

그러나 당국은 일반적으로 의료 기기에 대한 사이버 보안이 관련된 모든 당사자의 공동 책임이어야 한다는 점을 인정합니다. 잠재적인 사이버 보안 문제는 의료 기기의 정상적인 작동에 영향을 미칠 수 있으며 데이터 손실 또는 환자의 건강에 해를 끼칠 수도 있습니다. 

사이버 보안 문제의 중요성으로 인해 의료기기 제조업체는 초기 개발 단계부터 이를 고려해야 합니다. 이렇게 하면 이러한 위험을 가장 효율적으로 완화할 수 있습니다. 특히, 기관은 다음과 같이 명시합니다. 제조업체는 사이버 보안과 관련된 장치에 대한 설계 입력을 설정하고 21 CFR 820.30(g)에서 요구하는 소프트웨어 검증 및 위험 분석의 일부로 사이버 보안 취약성 및 관리 접근 방식을 설정해야 합니다. 

의료기기 제조업체가 채택할 사이버 보안 관리 접근 방식은 다음 측면을 다루어야 합니다. 

• 기존 및 잠재적인 사이버 보안 문제와 취약점 식별
• 앞서 언급한 취약점이 장치 자체의 작동은 물론 환자의 건강과 안전에 잠재적으로 미칠 수 있는 영향 분석
• 해당 취약점과 관련된 문제가 발생할 것으로 예상되는 가능성 평가
• 위험 수준 식별, 그러한 위험을 완화하기 위해 적용할 수 있는 전략 및 접근 방식 결정
• 사이버 보안과 관련된 잔여 위험 평가 및 위험 수용 기준. 

주요 사이버보안 기능 

위에 설명된 원칙을 구현하는 의료기기 제조업체를 지원하기 위해 지침은 사이버 보안과 관련된 특정 기능에 관한 권장 사항을 제공합니다.

• 식별하다, 
• 보호,
• 감지하다,
• 응답하고,
• 다시 덮다.  

이 문서에서는 이러한 각 기능과 의료 기기 제조업체가 이를 구현하는 방법을 자세히 설명합니다. 

1. 식별하고 보호합니다. FDA는 다른 장치, 로컬 또는 글로벌 네트워크, 심지어 미디어에 연결될 수 있는 의료기기는 어떤 방식으로든 연결되지 않는 의료기기에 비해 사이버 보안 측면에서 가장 많은 주의가 필요하다고 밝혔습니다. 적용할 특정 사이버 보안 조치 및 통제는 문제의 의료 기기의 사용 의도, 사용 환경, 식별된 취약성 등 다양한 요인에 따라 달라집니다. 이러한 취약성이 악용될 가능성과 환자에게 잠재적인 피해를 주는 것을 포함하여 이와 관련된 위험도 고려해야 합니다. 동시에 제조업체는 사이버 보안 관련 문제의 측면에서 장치의 안전성 보장과 제품의 일반적인 사용성 사이에서 최적의 균형을 설정해야 합니다. 이러한 맥락에서 의료기기 제조업체는 자사 제품에 구현된 보안 기능에 대한 정당성을 제시하도록 권장됩니다. 

2. 탐지, 대응, 복구. 제조업체는 발생하는 보안 문제를 감지하고 잠재적인 용도에 필요한 모든 정보를 제공하는 기능을 개발 및 도입해야 합니다. 이러한 정보는 다양한 사이버 보안 문제가 발생할 경우의 조치를 설명해야 합니다. FDA는 또한 제조업체가 구현하는 기능은 사이버 보안 문제가 발생하더라도 의료 기기의 정상적인 작동을 보장하기에 충분해야 함을 강조합니다. 이 외에도 인증된 권한 있는 사용자가 장치 구성을 복구할 수 있는 기술적 가능성이 있어야 합니다. 

요약하자면, 현재 FDA 지침은 사이버 보안 문제와 관련하여 의료기기 제조업체가 고려해야 할 가장 중요한 측면을 자세히 설명합니다. 이 문서에서는 제조업체의 주요 책임을 간략하게 설명하고 의료기기 개발 프로세스의 다양한 단계에서 고려해야 할 몇 가지 권장 사항을 제공합니다. 

출처 :

https://www.fda.gov/media/86174/download 

RegDesk가 어떻게 도움을 줄 수 있습니까?

RegDesk는 의료 기기 및 IVD 회사를위한 차세대 웹 기반 소프트웨어입니다. 당사의 최첨단 플랫폼은 기계 학습을 사용하여 전 세계적으로 규제 인텔리전스, 애플리케이션 준비, 제출 및 승인 관리를 제공합니다. 또한 고객은 전 세계 4000 명 이상의 규정 준수 전문가 네트워크에 액세스하여 중요한 질문에 대한 검증을받을 수 있습니다. 일반적으로 준비하는 데 6 개월이 걸리는 애플리케이션은 이제 RegDesk Dash (TM)를 사용하여 6 일 이내에 준비 할 수 있습니다. 글로벌 확장은 이처럼 간단하지 않았습니다.