美国医疗器械网络安全漏洞安全通讯考量框架

（原创 2021-03-12 CMDE 中国器审）

美国药品监督管理局（FDA）于2020年10月公布医疗器械网络安全漏洞安全通讯考量框架讨论稿，征求公众意见。该框架由FDA患者参与咨询委员会（PEAC）提出，旨在明确安全通讯关于医疗器械网络安全漏洞信息的要求。

一、关键要素

（一）可解释性

网络安全漏洞安全通讯的内容应易于阅读和理解，保证信息的及时性、相关性、简洁性、可读性。

及时性是指要尽可能早的将网络安全漏洞信息告知患者和医护人员，不仅有利于其尽早采取风险控制措施，而且有助于其获得患者和公众的信任。

相关性是指需将网络安全漏洞的风险、紧迫性、风险控制措施等信息明确告知患者和医护人员，以便其采取必要行动。

简洁性是指尽可能以简单方式向患者和医护人员传达网络安全漏洞信息，尽量避免使用专业术语和缩写，若使用应就近给出解释。

可读性是指要保证不同文化与语言背景的读者均可阅读和理解网络安全漏洞信息。

（二）风险与收益讨论

若对网络安全漏洞的分析和处理存在不确定性时，网络安全漏洞安全通讯应对其风险与收益进行讨论，以帮助患者和医护人员判定是否采取相关行动。

（三）如实解释未知信息

网络安全漏洞安全通讯应向读者如实解释网络安全漏洞的未知信息，不能有意或无意遗漏信息，以帮助读者确信相关信息是准确和可信赖的。

（四）可得性和易查性

网络安全漏洞安全通讯应易于获得、查询和使用，如标题明确制造商、产品名称、网络安全漏洞名称等信息，使用关键词等。

监管机构可从两个方面开展工作：一是保证信息易于通过网络搜查而获得，二是保证信息能够从智能手机等移动终端查询。

二、安全通讯文章结构

安全通讯文章结构关键在于信息分层，应将与患者和医护人员最为相关的信息置于开始部分，内容要尽量简洁明了，采用标注框、粗体文字等形式突出重要信息。

三、宣传与传播渠道

监管机构应制定医疗器械网络安全漏洞宣传计划并建立适当的传播渠道，以全面传播相关信息。针对不同类型的漏洞和读者，监管机构需要与相关机构合作发布网络安全漏洞信息。

制定宣传计划需要考虑目标受众和传播渠道。其中，目标受众需要考虑年龄、种族、语言、地域、疾病等因素的影响，传播渠道需要根据目标受众进行选择，如电子邮件、短信消息、社交媒体、电视、网站等。

FDA认为关于医疗器械网络安全漏洞的安全通讯是保证医疗器械安全有效的重要工作之一，尤其是对可联网的医疗器械。同时，医疗器械网络安全需要监管机构、用户、信息技术服务商的通力合作才能得以保障，因此需要全部利益相关者有效的合作和沟通。FDA后续将根据公众反馈意见进一步修改完善该框架，以保证医疗器械的安全有效性。

参考文献：

[1] FDA. Communicating Cybersecurity Vulnerabilities to Patients: Considerations for a Framework. 2020.10