在当今这个高度互联的世界,医疗器械的安全性和可靠性对于保障公众健康至关重要。FDA作为美国食品和药物的主要监管机构,长期以来一直致力于确保医疗器械的安全性和有效性。
2023年9月27日,美国食品和药品监督管理局(后续简称FDA)发布了《医疗器械的网络安全指南:质量体系需考虑的因素和上市前需提交的材料》。医疗器械产品设备进入美国市场前,需提交用于证明设备有效性及安全性的材料(即上市前提交材料)。
《指南》为众多医疗器械生产商提供了上市前提交材料(主要是安全性方面)的内容建议。对于想要通过FDA认证并进入美国市场的厂商来说,是非常重要的参考来源。
而其中则反复提及SBOM文件(软件物料清单)对医疗器械企业“自证产品网络安全性”的重要性:
1、 安全风险管理与SBOM 为了为记录医疗器械系统的安全风险管理活动,FDA 建议制造商制定安全风险管理计划和报告,对于安全风险管理报告,FDA在《指南》中明确建议在 安全风险管理报告中,需包含SBOM。
2、 第三方软件与SBOM 医疗器械纳入第三方软件时,软件的安全风险应成为整个医疗器械系统风险管理计划中的一部分,而SBOM 是一种有助于管理供应链风险以及明确识别和跟踪设备所含软件的重要工具。
3、 网络安全透明度与SBOM 对于网络安全透明度来说,持续性的信息更新是一项重要指标。当软件组件发生了版本的变更或者更替,那么其对应的风险也将产生变化,所以《指南》建议制造商定期更新SBOM。
一、为何FDA如此关注SBOM呢?
开源软件的泛用,使得大多数公司对采购软件的安全性和合规性,处于更加未知或模糊的状态。因此,为了更好地制定第三方软件安全风险管理决策,就需要清晰洞察软件内部组成成分。而SBOM(软件物料清单)就是其中的“灵丹妙药”,其最具价值的方面,就是提升软件内部成分的可见性。
医疗器械行业的创新发展,离不开对开源软件的应用与拓展,因此通过SBOM对提升第三方软件安全合规的可控性就显得尤为重要。
二、医疗器械软件如何生成符合FDA要求的SBOM文件?
1、安全需求分析与安全方案制定
对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。
2、第三方组件安全检测
自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。
3、 软件物料清单(SBOM)相关文件生成
导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。