씨엔에이 의료기기 인허가

Category

Term

Sourced

571

위협 모델링 (Threat modeling)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Threat modeling is a methodology for optimizing Network/Application/Internet Security by identifying objectives and vulnerabilities, and then defining countermeasures to prevent, or mitigate the effects of, threats to the system. For medical devices, threat modeling can be used to strengthen security by identifying vulnerabilities and threats to a particular product, products in a product line, or from the organization’s supply chain that can cause patient harm.

위협 모델링은 목표와 취약점을 식별한 다음 시스템에 대한 위협을 방지하거나 위협의 영향을 완화하기 위한 대책을 정의하여 네트워크/애플리케이션/인터넷 보안을 최적화하는 방법론이다. 의료기기의 경우 위협 모델링을 사용하여 환자에게 해를 끼칠 수 있는 특정 제품, 제품군의 제품 또는 조직의 공급망에 대한 취약성과 위협을 식별하여 보안을 강화할 수 있다.

570

위협 (Threat)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Threat is any circumstance or event with the potential to adversely impact the device, organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, or other organizations through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service. Threats exercise vulnerabilities, which may impact the safety or essential performance of the device.

위협은 비승인된 접근, 파괴, 공개, 정보 수정 및/또는 서비스 거부를 통해 정보 시스템을 통해 장치, 조직 운영(임무, 기능, 이미지 또는 평판 포함), 조직 자산, 개인 또는 기타 조직에 부정적인 영향을 미칠 가능성이 있는 모든 상황 또는 사건이다. 위협은 취약점을 공격하여 기기의 안전 또는 필수 성능에 영향을 미칠 수 있다.

569

위험완화 (Remediation)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Remediation is any action(s) taken to reduce an uncontrolled risk of patient harm posed by a device cybersecurity vulnerability to an acceptable level. Remediation actions may include complete solutions to remove a cybersecurity vulnerability from a medical device or compensating controls that adequately mitigate the risk (e.g., notification to customers and the user community identifying a control the user can implement). An example of remediation is a notification to the customers and the user community that discloses the vulnerability, the impact to the device, the potential for patient harm, and provides a strategy to reduce the risk of patient harm to an acceptable and controlled level. If the customer notification does not provide a strategy to reduce the risk of patient harm to an acceptable and controlled level, then the remediation is considered incomplete.

위험완화는 기기 사이버보안 취약점으로 인해 환자에게 가해지는 통제되지 않은 위험을 허용가능한 수준으로 줄이기 위해 취하는 모든 조치이다. 위험완화 조치에는 의료기기에서 사이버보안 취약점을 제거하기 위한 완전한 솔루션이나 위험을 적절히 완화하는 보상통제(예: 사용자가 구현할 수 있는 통제를 식별하는 고객 및 사용자 커뮤니티에 대한 알림)가 포함될 수 있다. 위험완화의 한 예로는 취약점, 기기에 대한 영향, 환자 위해 가능성을 공개하고 환자 위해 위험을 허용가능하고 통제된 수준으로 줄이기 위한 전략을 제공하는 고객 및 사용자 커뮤니티에 대한 알림이 있다. 고객 알림에서 환자 위해 위험을 허용가능하고 통제된 수준으로 줄이기 위한 전략을 제공하지 않으면 위험완화는 불완전한 것으로 간주된다.

568

환자 위해 (Patient harm)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Harm is the physical injury or damage to the health of people, or damage to property or the environment. Patient harm is defined as physical injury or damage to the health of patients, including death. Risks to health posed by the device may result in patient harm. This guidance outlines the assessment of whether the risk of patient harm is sufficiently controlled or uncontrolled. This assessment is based on an evaluation of the likelihood of exploit, the impact of exploitation on the device’s safety and essential performance, and the severity of patient harm if exploited (see section VI).
Other harms, such as loss of confidential information, including compromise of protected health information (PHI), are not considered “patient harms” for the purposes of this guidance.
Nevertheless, the FDA recommends that manufacturers consider protecting the confidentiality of such information as part of their overall comprehensive risk management program. Although protecting the confidentiality of PHI is beyond the scope of this document, it should be noted that manufacturers and/or other entities, depending on the facts and circumstances, may be obligated to protect the confidentiality, integrity and availability of PHI throughout the product life cycle, including disposal, in accordance with applicable federal and state laws, including the Health Information Portability and Accountability Act (HIPAA). Changes to a device that are made solely to address loss of confidentiality are typically considered to be device enhancements.

위해는 사람의 건강에 대한 신체적 상해 또는 손상, 또는 재산이나 환경에 대한 피해이다. 환자 위해는 사망을 포함한 환자의 건강에 대한 신체적 상해 또는 손상으로 정의된다. 기기로 인한 건강 위험은 환자에게 위해를 끼칠 수 있다. 이 지침은 환자 위해의 위험이 충분히 통제되는지 또는 통제되지 않는지 체계적으로 평가하는 방법을 설명한다. 이 체계적 평가는 악용가능성, 기기의 안전과 필수 성능에 대한 악용의 영향, 악용될 경우 환자 위해의 심각성에 대한 평가를 기반으로 한다(섹션 VI 참조).
보호된 건강 정보(PHI)의 손상을 포함한 기밀 정보의 손실과 같은 기타 위해는 이 지침의 목적상 "환자 위해"로 간주되지 않는다.
그럼에도 불구하고 FDA는 제조업자가 전반적인 포괄적 위험관리 프로그램의 일환으로 이러한 정보의 기밀성을 보호하는 것을 고려할 것을 권장한다. PHI의 기밀성을 보호하는 것은 이 문서의 범위를 벗어나지만, 사실과 상황에 따라 제조업자 및/또는 기타 기관은 건강정보이전 및 책임법(HIPAA)을 포함한 해당 연방 및 주법에 따라 폐기를 포함한 제품 수명주기 전반에 걸쳐 PHI의 기밀성, 무결성 및 가용성을 보호할 의무가 있을 수 있다. 기밀성 손실을 해결하기 위한 목적으로만 기기를 변경하는 경우 일반적으로 기기 개선으로 간주된다.

567

악용 (Exploit)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

An exploit is an instance where a vulnerability or vulnerabilities have been exercised (accidently or intentionally) by a threat and could impact the safety or essential performance of a medical device or use a medical device as a vector to compromise a connected device or system.

악용은 취약점이 위협에 의해(실수로 또는 의도적으로) 행사되어 의료기기의 안전 또는 필수 성능에 영향을 미치거나 의료기기를 매개체로 사용하여 연결된 기기 또는 시스템을 손상시킬 수 있는 경우이다.

566

사이버보안 신호 (Cybersecurity signal)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

A cybersecurity signal is any information which indicates the potential for, or confirmation of, a cybersecurity vulnerability or exploit that affects, or could affect a medical device. A cybersecurity signal could originate from traditional information sources such as internal investigations, postmarket surveillance, or complaints, and/or security-centric sources such as CERTS (Computer/Cyber, Emergency Response/Readiness Teams), such as ICS-CERT, ISAOs, threat indicators, and security researchers. Signals may be identified within the HPH Sector. They may also originate in another critical infrastructure sector (e.g., defense, financial) but have the potential to impact medical device cybersecurity.

사이버보안 신호는 의료기기에 영향을 미치거나 영향을 미칠 수 있는 사이버보안 취약점 또는 악용의 가능성 또는 확인을 나타내는 모든 정보이다. 사이버보안 신호는 내부 조사, 시판 후 감시 또는 불만과 같은 기존 정보 소스 및/또는 CERTS(컴퓨터/사이버, 비상 대응/준비팀), ICS-CERT, ISAO, 위협 지표 및 보안 연구원과 같은 보안 중심 소스에서 발생할 수 있다. 신호는 HPH 부문 내에서 식별될 수 있다. 또한 다른 중요 인프라 부문(예: 국방, 금융)에서 발생할 수도 있지만 의료기기 사이버 보안에 영향을 미칠 가능성이 있다.

565

사이버보안 정기 업데이트 및 패치 (Cybersecurity routine updates and patche…

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Cybersecurity “routine updates and patches” are changes to a device to increase device security and/or remediate only those vulnerabilities associated with controlled risk of patient harm. These types of changes are not to reduce uncontrolled risk of patient harm, and therefore not to reduce a risk to health or to correct a violation of the FD&C Act. They include any regularly scheduled security updates or patches to a device, including upgrades to the software, firmware, programmable logic, hardware, or security of a device to increase device security, as well as updates or patches to address vulnerabilities associated with controlled risk performed earlier than their regularly scheduled deployment cycle even if they are distributed to multiple units. Cybersecurity routine updates and patches are generally considered to be a type of device enhancement that may be applied to vulnerabilities associated with controlled risk and is not considered a repair. Cybersecurity routine updates and patches may also include changes to product labeling, including the instructions for use, to strengthen cybersecurity through increased end-user education and use of best practices. Because “cybersecurity routine updates and patches are generally considered to be device enhancements, manufacturers are generally not required to report these updates and patches as corrections under 21 CFR part 806. See Section VII for more details on reporting requirements for vulnerabilities with controlled risk. Security updates made to remediate vulnerabilities associated with a reasonable probability that use of, or exposure to, the product will cause serious adverse health consequences or death are not considered to be cybersecurity routine updates or patches.

사이버보안 "정기 업데이트 및 패치"는 기기 보안을 강화하거나 환자 위해의 통제된 위험과 관련된 취약점만 수정하기 위한 기기 변경이다. 이러한 유형의 변경은 환자 위해의 통제되지 않은 위험을 줄이기 위한 것이 아니므로 건강 위험을 줄이거나 FD&C 법 위반을 수정하기 위한 것이 아니다. 여기에는 기기의 소프트웨어, 펌웨어, 프로그래밍 가능 로직, 하드웨어 또는 보안을 업그레이드하여 기기 보안을 강화하는 것을 포함하여 기기에 대한 정기적으로 예약된 보안 업데이트 또는 패치가 포함되며, 여러 기기에 배포된 경우에도 정기적으로 예약된 배포 주기보다 일찍 수행된 통제된 위험과 관련된 취약점을 해결하기 위한 업데이트 또는 패치도 포함된다. 사이버보안 정기 업데이트 및 패치는 일반적으로 통제된 위험과 관련된 취약점에 적용될 수 있는 기기 개선 유형으로 간주되며 수리로 간주되지 않는다. 사이버보안 정기 업데이트 및 패치에는 최종 사용자 교육 강화 및 모범사례 사용을 통해 사이버 보안을 강화하기 위해 사용설명서를 포함한 제품 라벨 변경도 포함될 수 있다. "사이버보안 정기 업데이트 및 패치는 일반적으로 기기 개선으로 간주되므로 제조업자는 일반적으로 이러한 업데이트 및 패치를 21 CFR part 806에 따라 수정사항으로 보고할 필요가 없다. 통제된 위험이 있는 취약점에 대한 보고 요구 사항에 대한 자세한 내용은 섹션 VII을 참조한다. 제품을 사용하거나 노출되면 심각한 건강 문제나 사망을 초래할 가능성이 있는 취약점을 해결하기 위해 수행된 보안 업데이트는 사이버보안 정기 업데이트 또는 패치로 간주되지 않는다.

564

통제된 위험 (Controlled risk)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Controlled risk is present when there is sufficiently low (acceptable) residual risk of patient harm due to a device’s particular cybersecurity vulnerability.

기기의 특정 사이버보안 취약점으로 인해 환자에게 위해를 끼칠 가능성이 충분히 낮은(허용가능한) 위험

563

보상통제 (Compensating controls)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

A cybersecurity compensating control is a safeguard or countermeasure deployed, in lieu of, or in the absence of controls designed in by a device manufacturer. These controls are external to the device design, configurable in the field, employed by a user, and provide supplementary or comparable cyber protection for a medical device. For example, a manufacturer’s assessment of a cybersecurity vulnerability determines that unauthorized access to a networked medical device will most likely impact the device’s safety or essential performance. However, the manufacturer determines that the device can safely and effectively operate without access to the host network, in this case the hospital network. The manufacturer instructs users to configure the network to remove the ability of unauthorized/unintended access to the device from the hospital network. This type of counter measure is an example of a compensating control.

사이버보안 보상 통제는 기기 제조업자가 설계한 통제 대신 또는 통제가 없는 경우에 배치되는 보호 장치 또는 대책이다. 이러한 통제는 기기 설계 외부에 있으며 현장에서 구성할 수 있고 사용자가 사용하며 의료기기에 대한 보완적 또는 유사한 사이버 보호를 제공한다. 예를 들어, 사이버보안 취약점에 대한 제조업자의 체계적 평가는 네트워크에 있는 의료기기에 대한 무단 접근이 기기의 안전 또는 필수 성능에 영향을 미칠 가능성이 가장 높다고 결정한다. 그러나 제조업자는 기기가 호스트 네트워크(이 경우 병원 네트워크)에 접근하지 않고도 안전하고 효과적으로 작동할 수 있다고 판단한다. 제조업자는 사용자에게 병원 네트워크에서 기기에 대한 무단/의도하지 않은 접근 능력을 제거하기 위해 네트워크를 구성하도록 지시한다. 이러한 유형의 대책은 보상통제의 한 예이다.

562

요구된 소프트웨어 (Required software)

Cybersecurity

IEC 81001-5-1:2021

Definition

SOFTWARE ITEM for which the MANUFACTURER will consider SECURITY-related risks known before release of the HEALTH SOFTWARE
Note 1 to entry: This includes SUPPORTED SOFTWARE.

제조업자가 건강 소프트웨어 출시 전에 알려진 보안 관련 위험을 고려할 소프트웨어 아이템
노트 1: 여기에는 지원되는 소프트웨어가 포함된다.