RELATED    Act, regulation, standard or guidance

MDR 2017/745 Annex 1 General safety and performance requirements, Section 14.2(d), 14.5 and 18.8, and Section 17 Electronic programmable systems-devices that incorporate electronic programmable systems and software that are devices in themselves
MDR 2017/745 Annex 2 Technical documentation
Regulation (EU) 2016/679 General Data Protection Regulation
Regulation (EU) 2019/881 Cybersecurity Act
IEC 62304 Medical device software - Software life cycle processes
ISO 13485 Medical devices - Quality management systems - Requirements for regulatory purposes
ISO 14971 Medical devices - Application of risk management to medical devices
EN 60601-1:2006/A1:2013
IEC 62366-1:2015 Medical devices – Part 1: Application of usability engineering to medical devices
MDCG 2019-11 Guidance on Qualification and Classification of Software
MDCG 2019-16 Guidance on Cybersecurity for medical devices
EN ISO/IEC 27001 Information Technology – Security techniques – Information Security management Systems – Requirements
IEC 82304-1 Health Software Part 1: General requirements for Product Safety
ISO/IEC 80001-1 Application of Risk Management for IT networks Incorporating Medical Devices
ISO/IEC 80001-5-1 Application of Risk Management for IT networks incorporating medical device – Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software – Part 5-1: Activities in the product life-cycle
IEC 81001-5-1 Health software and health IT systems safety, effectiveness and security - Part 5-1: Security — Activities in the product life cycle
IEC/TR 80001-2-2 Application of Risk Management for IT networks Incorporating Medical Devices Part 2-2: Guidance for the Disclosure and Communication of Medical Device Security Needs, Risks and Controls
IEC/TR 80001-2-8 Application of risk management for IT-networks incorporating medical devices – Part 2-8: Application guidance – Guidance on standards for establishing the security capabilities identified in IEC TR 80001-2-2
AAMI TIR 57 Principles for medical device security—Risk management

DOCUMENTATION    

최초 제정 후, 유지관리되고 있는 품질경영시스템의 문서 및 기록관리절차서에 따라 사이버보안에 대한 결과로 다음의 문서 및 기록이 출력된다.
사이버보안 위험관리 계획서
사이버보안 위험관리 보고서
FMEA 보고서 및 시험데이터 등
사이버보안 유지관리 계획서

SUAMMARY    

제조업자는 ISO 14971을 기초하여 위험관리 프로세스를 적용하여야 한다. 제조업자는 하드웨어(ISO 14971, IEC 60601 Series, ISO 10993 Series)와 소프트웨어(IEC 62304, IEC 60601 PEMS) 위험관리와 더불어 보안(Security), 즉 하드웨어와 소프트웨어를 모두 고려하는 위험관리와 유지관리를 실행 및 유지관리하여야 한다. 사이버보안을 위해 안전 및 보안측면이 모두 고려되어야 하며, 위협(Threats), 취약점(Vulnerabilities), 자산(Assets), 부정적 영향(Adverse impacts)를 식별하기 위한 위협모델링을 결정하여 발생가능한 사례(Events)와 위해상황, 위해를 식별하여야 한다. 각 위협, 취약점을 통제하기 위한 보안능력(Security capabilities)을 결정하여 위험을 통제하여야 하며, 소프트웨어 개발문서의 일부분으로 사이버보안과 관련된 요구사항, 아키텍처, 상세디자인, 검증 및 유효성확인이 문서화되어야 한다. 사이버보안 위험 체계적 평가(Assessment - Risk analysis and evaluation)를 위한 접근방식은 다음의 3가지 유형이 있다.
위협기반(Threat-oriented) 위험 체계적 평가
취약점기반(Vulnerability-oriented) 위험 체계적 평가
자산기반(Asset-oriented) 위험 체계적 평가