現(xiàn)代醫(yī)療保健行業(yè)已全面擁抱數(shù)字化變革。如今，醫(yī)院和臨床環(huán)境高度依賴互聯(lián)醫(yī)療設備，實現(xiàn)高效的診斷、監(jiān)測和治療。然而，這種廣泛的連接也增加了攻擊面。醫(yī)院網(wǎng)絡中新增的每一臺設備，都是潛在的網(wǎng)絡攻擊入口，可能被惡意行為者利用。結果如何呢？網(wǎng)絡安全已經(jīng)與患者安全及監(jiān)管合規(guī)性緊密相連，不可分割。

全球各地的監(jiān)管機構正積極應對這一挑戰(zhàn)。從美國食品藥品監(jiān)督管理局 (FDA) 到歐盟的醫(yī)療器械法規(guī) (MDR/IVDR)，網(wǎng)絡安全已成為產(chǎn)品審批的重要基準。醫(yī)療設備制造商面臨的壓力與日俱增，必須證明其開發(fā)實踐安全可靠，并確保整個產(chǎn)品生命周期內(nèi)的技術實施始終符合嚴格的安全標準。

為應對這些挑戰(zhàn)，恩智浦自豪地宣布，我們的安全開發(fā)流程已成功通過IEC81001-5-1認證。IEC81001-5-1是全球健康軟件和IT系統(tǒng)網(wǎng)絡安全領域的先進國際標準。

IEC 81001-5-1認證是什么？有何作用？

IEC 81001-5-1旨在填補醫(yī)療行業(yè)長期存在的安全標準缺口。盡管加密和安全啟動等技術保障措施已被廣泛接受，但該行業(yè)在軟件開發(fā)流程方面仍缺乏統(tǒng)一、正式的安全標準。該新標準借鑒了工業(yè)領域的IEC62443-4-1標準的基本結構，建立了一個覆蓋整個生命周期的框架，專門用于互聯(lián)醫(yī)療設備和健康軟件。

從根本上說，IEC81001-5-1采用基于風險的安全方法，確保在產(chǎn)品開發(fā)過程中得到充分保護。它明確規(guī)定了整個軟件生命周期的流程，包括規(guī)劃、開發(fā)、維護及漏洞響應。與此同時，該標準強調安全編碼最佳實踐，要求威脅模型、風險評估及緩解措施之間具備清晰的可追溯性。

IEC81001-5-1明確規(guī)定了專為醫(yī)療軟件設計的安全開發(fā)生命周期。恩智浦的認證流程建立了從設計到部署的完整可追溯性，強化了風險管理與安全編碼實踐。

現(xiàn)代醫(yī)療設備日益依賴復雜的、多供應商的硬件和軟件協(xié)議棧。IEC81001-5-1認識到這一挑戰(zhàn)，并引入了一種系統(tǒng)級醫(yī)療設備網(wǎng)絡安全方法。該標準確認單個設備的安全不僅取決于自身的設計，還涉及其預構建組件和第三方庫的安全狀態(tài)，基本涵蓋整個供應鏈。

IEC81001-5-1強調對組件交互的整體評估，而非孤立地分析單個組件。該標準推動風險管理的整體性視角，重點關注個體和整體漏洞如何在整個系統(tǒng)中擴散，并強調在設備生命周期內(nèi)進行持續(xù)監(jiān)測的重要性。

此外，IEC81001-5-1倡導透明度與可追溯性。它要求制造商詳盡記錄外部組件及其已知漏洞，并建立配置管理系統(tǒng)，以跟蹤隨時間變化的安全狀態(tài)。這些要求不僅提升安全性，還提供清晰、符合審計的合規(guī)證據(jù)，助力企業(yè)滿足監(jiān)管要求。

2022年12月，美國食品藥品監(jiān)督管理局 (FDA) 正式承認IEC81001-5-1為共識標準，為其在510(k) 及其他法規(guī)提交文件中的應用奠定了基礎。同時，該標準也被納入歐盟MDR和IVDR的“一般安全與性能要求”(GSPR) 合規(guī)指南。

恩智浦的開發(fā)流程已成功通過IEC81001-5-1認證，確保醫(yī)療應用的開發(fā)安全可靠。查看相關醫(yī)療網(wǎng)絡安全認證文件，點擊這里>>

恩智浦如何獲得IEC81001-5-1流程認證?

獲得IEC81001-5-1合規(guī)認證意味著恩智浦已將醫(yī)療級網(wǎng)絡安全控制深度整合到其產(chǎn)品開發(fā)流程中。

該認證由DEKRA進行評審，驗證恩智浦的開發(fā)工作流程符合該標準的安全軟件生命周期管理相關要求。所有評估均依據(jù)DEKRA自有認證方案進行。工作流程涵蓋威脅建模、漏洞跟蹤、安全配置管理及安全問題解決的正式流程。這些安全機制已在恩智浦的基礎設施中全面落地，并適用于汽車 (ISO/SAE21434) 和工業(yè) (IEC62443-4-1) 等其他受監(jiān)管行業(yè)。

恩智浦通過調整現(xiàn)有框架，以滿足IEC81001-5-1規(guī)定的具體程序和文件要求，成功建立了一套符合FDA認可標準和歐盟監(jiān)管指南的認證流程。

對客戶有何積極影響？

獲得IEC81001-5-1流程認證后，恩智浦進一步加強了醫(yī)療設備制造商對其產(chǎn)品的信任。制造商采用恩智浦預驗證的構建模塊，可制造安全的醫(yī)療產(chǎn)品。通過提供第三方驗證的安全保障，確保所有組件來自安全、成熟的開發(fā)環(huán)境，大幅減輕客戶在合規(guī)方面的負擔。

對于設計團隊而言，早期決策更加簡化。醫(yī)療設備制造商無需從零開始構建安全開發(fā)框架，或調整不符合要求的組件以適應受監(jiān)管環(huán)境，相反，他們可以放心集成恩智浦組件，確保底層開發(fā)工件嚴格遵循IEC81001-5-1標準。

對于系統(tǒng)架構師來說，該認證提供了一種可靠的供應商盡職調查記錄方法，涵蓋漏洞分析、安全更新機制和事件通知工作流程等關鍵環(huán)節(jié)。在監(jiān)管機構看來，這些均屬于制造商的責任，而恩智浦的認證則幫助企業(yè)建立基于最佳實踐的可審計證據(jù)，有效減輕合規(guī)性負擔。

安全性取決于最薄弱的環(huán)節(jié)。恩智浦的認證強化了供應鏈的整體安全性，讓醫(yī)療設備制造商能夠全面掌控每個組件的來源與完整性。

面向未來的設計

醫(yī)療行業(yè)正經(jīng)歷快速發(fā)展。AI驅動的診斷和遠程患者監(jiān)護等新技術正不斷提升系統(tǒng)集成的復雜性，同時也加劇了網(wǎng)絡安全風險。

IEC81001-5-1認證使醫(yī)療設備制造商能夠更加自信地擴展業(yè)務，確保其基礎設施組件符合全球公認的安全開發(fā)標準。

雖然IEC81001-5-1目前尚未強制要求單個組件認證，但行業(yè)趨勢正朝著這一方向演進，即將出臺的《網(wǎng)絡抗風險能力法案》(CRA) 進一步印證了這一變化。隨著監(jiān)管框架的不斷成熟，滿足或超越這些安全標準的組件將成為行業(yè)普遍要求，而非例外情況。

值得慶幸的是，該認證現(xiàn)已深度集成至恩智浦的醫(yī)療產(chǎn)品開發(fā)工作流程。面對不斷變化的監(jiān)管環(huán)境，我們持續(xù)擴展安全開發(fā)實踐，以滿足整個醫(yī)療設備價值鏈的新興安全需求，其中包括IEC60601-4-5，這是IEC62443-4-2針對醫(yī)療市場的優(yōu)化版。

了解更多關于我們的解決方案如何支持醫(yī)療保健領域的安全與合規(guī)創(chuàng)新，包括符合IEC81001-5-1標準，點擊這里>>

本文作者

Carlos Serratos，恩智浦半導體物聯(lián)網(wǎng)認證專家。在恩智浦擔任物聯(lián)網(wǎng)認證專家期間，他與不同垂直行業(yè)和地區(qū)的政策制定者、監(jiān)管機構和行業(yè)進行了溝通，以解決合規(guī)性、風險管理和問責制方面的信任支持問題。他精通安全法規(guī)合規(guī)性、方案與標準的制定，并深入研究這些方案與標準在物聯(lián)網(wǎng)市場中的應用。目前，他正在參與連接標準聯(lián)盟的產(chǎn)品安全工作組，共同主持產(chǎn)品安全認證和監(jiān)管活動。

本文作者

Daniel Kiraly，恩智浦半導體信息安全經(jīng)理，確保各場地和開發(fā)流程符合IEC81001-5-1、IEC62443-4-1、ISO21434、CRA、TISAX、ISO27001等標準。憑借Common Criteria評估員與審計員的專業(yè)背景，他致力于強化開發(fā)流程與管理系統(tǒng)的網(wǎng)絡安全合規(guī)性，以滿足客戶需求。秉持高效協(xié)作的工作方式，他在技術嚴謹性與跨職能團隊之間建立起緊密聯(lián)系。