歐盟醫(yī)療器械CE認證有關網絡安全的指導原則：MDCG2019-16 醫(yī)療器械網絡安全指導原則

醫(yī)療器械協(xié)調工作組（MDCG）前期發(fā)布了“醫(yī)療器械信息安全指南, 2019年12月”。該指南不具有法律約束力，但公告機構必須遵循。這意味著您作為制造商也需要遵循。不幸的是，該指南并未就如何處理該問題提出明確的框架，而是概述了也可在其他資源中找到的要求和方法，例如：

uISO /IEC 80001-1風險管理在包含醫(yī)療器械的IT網絡中的應用

uIEC /TR 80001-2-2風險管理在包含醫(yī)療器械的IT網絡中的應用第2-2部分：醫(yī)療器械安保需求、風險和控制的披露和溝通指南。

uAAMITIR 57醫(yī)療器械安保原則-風險管理

MDCG指南把MDR一般安全和性能要求（GSPR）關聯(lián)了起來。介紹了深度防御，良好網絡安全防范 （FDA指導中的基本安全防范）以及網絡安全風險與產品安全風險之間的關系這樣一些概念。

還引入可用性工程與網絡安全之間的聯(lián)系：脆弱性被視為合理可預見的濫用的促成因素。

MDCG指南提出了6個最佳實踐，主要使用了ISO 13485和IEC 62304中的設計和維護過程中步驟：

1 管理上的安全

-ISO13485 4.1，用于安全風險管理過程；

-IEC62304 5.1：軟件開發(fā)計劃；

-IEC62304 6.1：軟件維護

2 安全要求規(guī)范

-IEC62304 5.2：軟件需求分析 

3 通過設計確保安全，包括深度防御

-IEC62304 5.3：軟件體系結構；

4安全實施

-IEC62304 5.4：軟件詳細設計；

-IEC62304 5.5：軟件實施和單元驗證；

-以及SOUP管理的正確性

5安全驗證和確認

-IEC62304 5.6：軟件集成測試；

-IEC62304 5.7：軟件系統(tǒng)驗證； 

6安全相關問題的管理

-IEC62304 6.2：問題和修改分析；

-IEC62304 9：問題解決

7安全更新管理

-IEC 623046.3：修改實施；

-IEC62304 8.2：變更控制；

8 安全準則

-5.8軟件發(fā)布；

-以及軟件文檔，請參閱IEC 82304-1第7節(jié)。

指南也提到驗證與確認 

安全驗證和確認測試的主要手段還是測試，方法可以包括安全功能測試、模糊測試，漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產品,確定組件與已知問題。 

指南也描述了關于說明書，PMS和警戒等內容。

IMDRF就醫(yī)療器械網絡安全發(fā)布的官方指南——《醫(yī)療器械網絡安全原則與實踐》（Principles and Practicesfor Medical DeviceCybersecurity），這個在全球監(jiān)管協(xié)調方面具有重要且特別的意義。