如果您的医疗器械带有软件，那么 FDA 有 95% 的可能会将其视为网络设备。以下是您需要遵循的步骤，以确保符合规定...

您可以将整个过程分为两组活动：上市前和上市后。

在上市前，有两项主要工作：安全架构和设计与开发。

上市前---安全架构阶段：

- 构建系统以满足您的设计输入（即要求）。

- 创建合适的架构安全视图；这些视图应包括医疗器械将在其中运行的更广泛的系统，以显示交互作用。

- 执行威胁建模，识别医疗器械的所有网络安全威胁。

- 确定使安全风险可接受所需的控制措施，并根据需要更新架构安全视图。

- 完成上述工作后，确定网络安全管理计划并包含所需信息。

上市前设计与开发阶段：

- 设计和实施符合安全架构的医疗器械软件，并在软件完成后生成软件物料清单(SBOM)。

- 对 SBOM 进行分析，找出已知来源的任何异常。然后对这些异常进行逐一检查，以确定其对医疗器械的影响。如果存在根据 SBOM 分析无法接受的威胁或漏洞，则应修改设计和实施以降低这些风险。

- 一旦设计和 SBOM 只产生了可接受的威胁和漏洞，就对医疗器械软件进行网络安全测试，并在测试报告中记录测试结果。

- 任何未解决的异常情况都将被视为残余威胁，需要说明理由。

上市后活动

- 发布医疗器械软件并开始定期监控。

- 按照管理计划的规定，定期扫描 SBOM，以确定是否存在新的异常。采用与设计阶段相同的分析方法，并在必要时创建软件补丁。

- 同样，监控任何安全事件，如果通过 SBOM或事件发现外部来源的问题，则反馈到威胁建模阶段，以启动新版本。

- 维护上市后监控阶段的指标，以确定发现和纠正问题的比率。

这就是全貌。显然，还有其他各种活动和输出文件，但希望这能为您提供一个高层次的概览，让您了解为确保设计的安全性和合规性而应开展的活动。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑