씨엔에이 의료기기 인허가

Category

Term

Sourced

567

악용 (Exploit)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

An exploit is an instance where a vulnerability or vulnerabilities have been exercised (accidently or intentionally) by a threat and could impact the safety or essential performance of a medical device or use a medical device as a vector to compromise a connected device or system.

악용은 취약점이 위협에 의해(실수로 또는 의도적으로) 행사되어 의료기기의 안전 또는 필수 성능에 영향을 미치거나 의료기기를 매개체로 사용하여 연결된 기기 또는 시스템을 손상시킬 수 있는 경우이다.

566

사이버보안 신호 (Cybersecurity signal)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

A cybersecurity signal is any information which indicates the potential for, or confirmation of, a cybersecurity vulnerability or exploit that affects, or could affect a medical device. A cybersecurity signal could originate from traditional information sources such as internal investigations, postmarket surveillance, or complaints, and/or security-centric sources such as CERTS (Computer/Cyber, Emergency Response/Readiness Teams), such as ICS-CERT, ISAOs, threat indicators, and security researchers. Signals may be identified within the HPH Sector. They may also originate in another critical infrastructure sector (e.g., defense, financial) but have the potential to impact medical device cybersecurity.

사이버보안 신호는 의료기기에 영향을 미치거나 영향을 미칠 수 있는 사이버보안 취약점 또는 악용의 가능성 또는 확인을 나타내는 모든 정보이다. 사이버보안 신호는 내부 조사, 시판 후 감시 또는 불만과 같은 기존 정보 소스 및/또는 CERTS(컴퓨터/사이버, 비상 대응/준비팀), ICS-CERT, ISAO, 위협 지표 및 보안 연구원과 같은 보안 중심 소스에서 발생할 수 있다. 신호는 HPH 부문 내에서 식별될 수 있다. 또한 다른 중요 인프라 부문(예: 국방, 금융)에서 발생할 수도 있지만 의료기기 사이버 보안에 영향을 미칠 가능성이 있다.

565

사이버보안 정기 업데이트 및 패치 (Cybersecurity routine updates and patche…

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Cybersecurity “routine updates and patches” are changes to a device to increase device security and/or remediate only those vulnerabilities associated with controlled risk of patient harm. These types of changes are not to reduce uncontrolled risk of patient harm, and therefore not to reduce a risk to health or to correct a violation of the FD&C Act. They include any regularly scheduled security updates or patches to a device, including upgrades to the software, firmware, programmable logic, hardware, or security of a device to increase device security, as well as updates or patches to address vulnerabilities associated with controlled risk performed earlier than their regularly scheduled deployment cycle even if they are distributed to multiple units. Cybersecurity routine updates and patches are generally considered to be a type of device enhancement that may be applied to vulnerabilities associated with controlled risk and is not considered a repair. Cybersecurity routine updates and patches may also include changes to product labeling, including the instructions for use, to strengthen cybersecurity through increased end-user education and use of best practices. Because “cybersecurity routine updates and patches are generally considered to be device enhancements, manufacturers are generally not required to report these updates and patches as corrections under 21 CFR part 806. See Section VII for more details on reporting requirements for vulnerabilities with controlled risk. Security updates made to remediate vulnerabilities associated with a reasonable probability that use of, or exposure to, the product will cause serious adverse health consequences or death are not considered to be cybersecurity routine updates or patches.

사이버보안 "정기 업데이트 및 패치"는 기기 보안을 강화하거나 환자 위해의 통제된 위험과 관련된 취약점만 수정하기 위한 기기 변경이다. 이러한 유형의 변경은 환자 위해의 통제되지 않은 위험을 줄이기 위한 것이 아니므로 건강 위험을 줄이거나 FD&C 법 위반을 수정하기 위한 것이 아니다. 여기에는 기기의 소프트웨어, 펌웨어, 프로그래밍 가능 로직, 하드웨어 또는 보안을 업그레이드하여 기기 보안을 강화하는 것을 포함하여 기기에 대한 정기적으로 예약된 보안 업데이트 또는 패치가 포함되며, 여러 기기에 배포된 경우에도 정기적으로 예약된 배포 주기보다 일찍 수행된 통제된 위험과 관련된 취약점을 해결하기 위한 업데이트 또는 패치도 포함된다. 사이버보안 정기 업데이트 및 패치는 일반적으로 통제된 위험과 관련된 취약점에 적용될 수 있는 기기 개선 유형으로 간주되며 수리로 간주되지 않는다. 사이버보안 정기 업데이트 및 패치에는 최종 사용자 교육 강화 및 모범사례 사용을 통해 사이버 보안을 강화하기 위해 사용설명서를 포함한 제품 라벨 변경도 포함될 수 있다. "사이버보안 정기 업데이트 및 패치는 일반적으로 기기 개선으로 간주되므로 제조업자는 일반적으로 이러한 업데이트 및 패치를 21 CFR part 806에 따라 수정사항으로 보고할 필요가 없다. 통제된 위험이 있는 취약점에 대한 보고 요구 사항에 대한 자세한 내용은 섹션 VII을 참조한다. 제품을 사용하거나 노출되면 심각한 건강 문제나 사망을 초래할 가능성이 있는 취약점을 해결하기 위해 수행된 보안 업데이트는 사이버보안 정기 업데이트 또는 패치로 간주되지 않는다.

564

통제된 위험 (Controlled risk)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

Controlled risk is present when there is sufficiently low (acceptable) residual risk of patient harm due to a device’s particular cybersecurity vulnerability.

기기의 특정 사이버보안 취약점으로 인해 환자에게 위해를 끼칠 가능성이 충분히 낮은(허용가능한) 위험

563

보상통제 (Compensating controls)

Cybersecurity

FDA cybersecurity Postmarket Management

Definition

A cybersecurity compensating control is a safeguard or countermeasure deployed, in lieu of, or in the absence of controls designed in by a device manufacturer. These controls are external to the device design, configurable in the field, employed by a user, and provide supplementary or comparable cyber protection for a medical device. For example, a manufacturer’s assessment of a cybersecurity vulnerability determines that unauthorized access to a networked medical device will most likely impact the device’s safety or essential performance. However, the manufacturer determines that the device can safely and effectively operate without access to the host network, in this case the hospital network. The manufacturer instructs users to configure the network to remove the ability of unauthorized/unintended access to the device from the hospital network. This type of counter measure is an example of a compensating control.

사이버보안 보상 통제는 기기 제조업자가 설계한 통제 대신 또는 통제가 없는 경우에 배치되는 보호 장치 또는 대책이다. 이러한 통제는 기기 설계 외부에 있으며 현장에서 구성할 수 있고 사용자가 사용하며 의료기기에 대한 보완적 또는 유사한 사이버 보호를 제공한다. 예를 들어, 사이버보안 취약점에 대한 제조업자의 체계적 평가는 네트워크에 있는 의료기기에 대한 무단 접근이 기기의 안전 또는 필수 성능에 영향을 미칠 가능성이 가장 높다고 결정한다. 그러나 제조업자는 기기가 호스트 네트워크(이 경우 병원 네트워크)에 접근하지 않고도 안전하고 효과적으로 작동할 수 있다고 판단한다. 제조업자는 사용자에게 병원 네트워크에서 기기에 대한 무단/의도하지 않은 접근 능력을 제거하기 위해 네트워크를 구성하도록 지시한다. 이러한 유형의 대책은 보상통제의 한 예이다.

562

요구된 소프트웨어 (Required software)

Cybersecurity

IEC 81001-5-1:2021

Definition

SOFTWARE ITEM for which the MANUFACTURER will consider SECURITY-related risks known before release of the HEALTH SOFTWARE
Note 1 to entry: This includes SUPPORTED SOFTWARE.

제조업자가 건강 소프트웨어 출시 전에 알려진 보안 관련 위험을 고려할 소프트웨어 아이템
노트 1: 여기에는 지원되는 소프트웨어가 포함된다.

561

유지관리되는 소프트웨어 (Maintained software)

Cybersecurity

IEC 81001-5-1:2021

Definition

SOFTWARE ITEM for which the MANUFACTURER will assume the risk related to SECURITY

제조업자가 보안과 관련된 위험을 감수하는 소프트웨어 아이템

560

건강 전달 조직 (Healthcare delivery organization: HDO)

Cybersecurity

IEC 81001-5-1:2021

Definition

facility or enterprise such as a clinic or hospital that provides healthcare services
[SOURCE: ISO 81001-1:2021[17], 3.1.4]

진료소나 병원 등 의료 서비스를 제공하는 시설이나 기업

559

건강 소프트웨어 (Health software)

Cybersecurity

IEC 81001-5-1:2021

Definition

software intended to be used specifically for managing, maintaining, or improving health of individual persons, or the delivery of care, or which has been developed for the purpose of being incorporated into a medical device
Note 1 to entry: HEALTH SOFTWARE fully includes what is considered software as a medical device.
[SOURCE: ISO 81001-1:2021[17], 3.3.9]

개인의 건강을 관리, 유지 또는 개선하거나 치료를 제공하기 위해 특별히 사용되거나 의료기기에 통합될 목적으로 개발된 소프트웨어

노트 1: 건강 소프트웨어에는 의료기기로 간주되는 소프트웨어가 모두 포함된다.

558

건강 IT 시스템 (Health IT system)

Cybersecurity

IEC 81001-5-1:2021

Definition

a combination of interacting health information elements (including HEALTH SOFTWARE, medical devices, IT hardware, interfaces, data, procedures and documentation) that is configured and implemented to support and enable an individual or organization’s specific health objectives
[SOURCE: ISO 81001-1:2021[17], 3.3.8, modified – Addition of "(including HEALTH SOFTWARE, medical devices, IT hardware, interfaces, data, procedures and documentation)".]

개인이나 조직의 특정 건강 목표를 지원하고 활성화하기 위해 구성 및 구현된 상호작용하는 건강 정보요소(건강 소프트웨어, 의료기기, IT 하드웨어, 인터페이스, 데이터, 절차 및 문서 포함)의 조합