★ 제조품목인증 (의료용 윤활제)
1. 배경
1) 의료기기 제조사는 미국 등 수출을 위해서는 의료기기 개발에 사용된 구성 요소(오픈소스 포함)에 대한 SBoM을 기반으로 한 취약점
관리가 필요하다.
2) 소프트웨어 개발에 사용되는 오픈소스와 관련된 취약점이 지속적으로 발생하고 있다.
3) 소프트웨어 공급망 보안(Software Supply Chain Security)은 더 이상 선택이 아닌 필수이며, SBoM은 소프트웨어 공급망 보안의
중요한 도구이다.
2. SBoM의 기본 요소
1) 작성자 이름
2) 타임 스탬프
3) 소프트웨어 컴포넌트 벤더(공급업체)
4) 소프트웨어 컴포넌트 이름
5) 소프트웨어 컴포넌트 버전
6) 고유 식별자
7) 관계
3. SBoM 취약점 분석 및 대응
1) 기본 취약점 식별 및 데이터 수집
2) 위험 우선순위 설정 및 분석
3) KEV(Known Exploited Vulnerabilities), VEX(Vulnerability Exploitability eXchange) 적용
4) 대응 방안 결정 프로세스 적용
4. SBoM의 활용
1) SBoM을 도입해 소프트웨어 개발에 사용된 오픈소스나 보안 업데이트 사항을 관리한다.
2) SBoM은 기기 내의 소프트웨어에 포함된 컴포넌트와 연관된 위험을 투명하게 제공한다.
3) 확보된 취약점 정보로부터 영향을 받는 소프트웨어 컴포넌트를 확인하고, SBoM을 활용하여 해당 컴포넌트를 포함하고 있는
의료기기를 식별한다.
4) SBoM은 견고한 사고 대응 절차와 함께 사용될 경우, 더 나은 사고 관리를 할 수 있도록 도와주는 여러 자원 중 하나이다.
※ 용어
1) SBoM (Software Bill of Materials, 소프트웨어 자재 명세서)
하나 이상의 식별된 컴포넌트와 그 관계 및 기타 관련 정보의 목록
2) 소프트웨어 공급망 보안 (Software Supply Chain Security)
소프트웨어를 개발・배포하는 전 과정(공급망)에서 악성코드나 취약점이 침투하지 않도록 보호하는 보안 체계를 뜻하며,
대표적인 보안 강화 방법의 하나가 SBoM(Software Bill of Materials)을 기반으로 한 위험관리임.
감사합니다.
]]>
1) 교육 목적 : 수입업 진출을 위한 법적 요구사항과 인허가 프로세스의 이해
2) 교육 대상 : 품질책임자, 품질관리 담당자, 수입업 진출을 준비하는 담당자
3) 교육 내용
(1) 의료기기 주요 법령의 요구사항
(2) 수입품목인허가 프로세스의 이해
(3) 제조원 GMP 심사 프로세스의 이해
(4) 품질관리시스템의 이해 및 수립
(5) 품질관리시스템의 운영 방안(수입업자 준수사항 등)
(6) 수입통관 프로세스(표준통관예정보고서 발급 등)
(7) 시판 후 사후관리 등
2. 의료기기 제조업 진출을 위한 교육 훈련
1) 교육 목적 : 제조업 진출을 위한 법적 요구사항과 인허가 프로세스의 이해
2) 교육 대상 : 품질책임자, 품질관리 담당자, 제조업 진출을 준비하는 담당자
3) 교육 내용
(1) 의료기기 주요 법령의 요구사항
(2) 제조품목인허가 프로세스의 이해
(3) 제조원 GMP 심사 프로세스의 이해
(4) 품질경영시스템의 이해, 수립 및 운영 방안
(5) 시판 후 사후관리 등
3. 제조원 GMP 심사 및 품질경영시스템 유지를 위한 교육 훈련
1) 교육 목적 : GMP 심사의 법적 요구사항 이해와 품질경영시스템 유지를 위한 실무역량 습득 및 강화
2) 교육 대상 : 품질책임자, 품질관리 담당자
3) 교육 내용
(1) 제조 및 품질관리 기준의 법적 요구사항
(2) 품질경영시스템의 이해, 수립, 운영 및 유지 방안
(3) GMP 현장 심사를 위한 준비 및 대응 방안
(4) 제조소 현장에서의 모의심사 수행
① 문서 및 기록상태의 점검 및 개선
② 제조소 환경 점검 및 개선
4. 수입업자 준수사항 등 품질관리의 실행 및 유지를 위한 교육 훈련
1) 교육 목적 : 수입업자 준수사항 등 품질관리의 법적 요구사항 이해와 실무역량 습득 및 강화
2) 교육 대상 : 품질책임자, 품질관리 담당자
3) 교육 내용
(1) 품질관리시스템의 이해
(2) 품질관리시스템의 운영 방안(수입업자 준수사항 등)
(3) 수입통관 프로세스(표준통관예정보고서 발급 등)
(4) 시판 후 사후관리 등
5. 기타 공통사항
1) 교육 훈련은 의뢰회사에서의 현장 교육으로 진행됩니다.
2) 교육 과정 및 교육 내용은 의뢰회사의 상황과 요구에 따라 조정(변경)될 수 있습니다.
감사합니다.
]]>1. 목적
의료기기의 사이버보안 위협사례(해킹, 정보 유출 등)로부터 통신이 가능한 의료기기의 안전관리를 확보하는 데 있다.
2. 적용 범위
유·무선 통신(Wi-Fi, 블루투스, USB, RS-232, LAN 등)을 사용하거나 통신 경로가 존재하는 의료기기에 적용한다.
3. 사이버보안 기본원칙
1) 의료기기의 사이버보안을 보장하기 위하여 가용성, 기밀성, 무결성이 준수되어야 한다.
2) 제조자가 품질경영시스템에서 수립한 위험관리 프로세스 내에서 적용되어야 한다.
4. 사이버보안 요구사항
1) 식별 및 인증(Identification and Authentication) : 시스템 사용 알림 메시지(IA-08) 등
2) 사용 통제(Use Control) : 부인 방지(UC-07) 등
3) 시스템 무결성(System Integrity) : 부트 프로세스 무결성 검증(SI-11) 등
4) 데이터 기밀성(Data Confidentiality) : 안전한 암호화 사용(DC-03) 등
5) 이벤트 적시 대응(Timely Response to Events) : 감사 로그에 대한 비인가된 접근 제한(TRE-01)
6) 자원 가용성(Resource Availability) : 불필요한 기능 비활성화(RA-05) 등
5. 사이버보안의 적용
1) 사이버보안 위험관리 과정을 통해 위해요인을 파악하고, 발생 가능한 위해를 최소화 및 차단하기 위한 설계변경 등의
통제조치를 실행한다.
2) 위험관리 과정에서 식별된 위해요인에 대한 통제조치의 결과를 소프트웨어 검증 및 유효성 확인의 단계에서 검증하며,
소프트웨어 검증 및 유효성 확인의 자료에는 사이버보안 요구사항에 대한 시험 및 검증 절차, 시험 결과를 포함하여야 한다.
3) 사이버보안 위험관리 문서와 소프트웨어 검증 및 유효성 확인 자료를 바탕으로 사이버보안 요구사항 체크리스트 작성하여,
사이버보안 요구사항이 개발 제품에 적용되었음을 검증한다.
6. 허가 및 심사를 위한 사이버보안 제출 자료
1) 의료기기 사이버보안 요구사항 체크리스트
2) 체크리스트의 요구사항에 대한 검증을 확인할 수 있는 자료
(1) 소프트웨어 검증 및 유효성 확인 자료
(2) 사이버보안 위험관리 문서
(3) 성능 시험성적서
3) 사이버보안 요구사항의 미적용 근거를 확인할 수 있는 자료 (해당되는 경우)
(1) 사이버보안 위험관리 문서
(2) 사용설명서
(3) 설계문서 등
감사합니다.
]]>
1. 개요
품질관리를 통한 의료기기의 안전성 및 유효성 확보를 위하여 품질경영시스템 내에서 사용되는 소프트웨어의 경우, 그 사용에 앞서 해당 소프트웨어의 유효성을 확인하여야 한다.
2. 적용 대상
1) 품질경영시스템에 사용되는 컴퓨터 소프트웨어
예) 고객 관리 및 피드백에 사용되는 응용프로그램 등
2) 생산 및 서비스 제공에 사용되는 컴퓨터 소프트웨어
예) 라벨 및 UDI 출력에 사용되는 응용프로그램 등
3) 규정된 요구사항에 대한 모니터링 및 측정에 사용되는 컴퓨터 소프트웨어
예) 만능재료시험기(UTM)에 사용되는 응용프로그램 등
3. 적용 규격
1) ISO TR 80002-2:2017
2) IEC TR 80002-1:2009
3) ISO 14971(2019) 등
4. 밸리데이션 활동
1) 프로세스를 명확히 정의하고 밸리데이션 계획을 수립한다.
2) 프로세스 위험분석을 통해 문서화 노력의 엄격성 수준을 결정한다.
3) 소프트웨어 위험분석을 근거로 공구 상자(Toolbox)에서 밸리데이션 활동을 위한 가장 적합한 공구(소프트웨어의 위험을
감소시키고 신뢰를 구축하는 활동)를 찾아내고 선택한다.
4) 선택한 공구를 활용하여 소프트웨어의 요구사항과 목적이 충족되며, 의도한 사용에 적합하고 믿을 만한 소프트웨어의
신뢰 수준을 입증하는 밸리데이션 활동을 진행한다.
5. 밸리데이션 보고서
1) 신뢰-구축 활동의 결과로서, 소프트웨어 관리자는 최종 검토와 승인을 받기 위해서 밸리데이션 보고서를 작성한다.
2) 밸리데이션의 수행을 위해 결정된 모든 활동을 계획대로 수행하였음을 보여주는 증거를 포함한다.
3) 밸리데이션 보고서의 검토자는 소프트웨어 관리자가 시스템의 의도한 사용에 대해서 명확한 생각을 가지고 있고, 시스템
사용과 관련된 모든 위험을 이해하고 있는지 검토한다.
4) 검토자는 시스템 사용을 허용하기 위해서 요구되는 시스템의 신뢰 수준에 도달하는데 필요한 모든 활동을 수행하였는지
검토한다.
6. 맺음말
현실적이고 이용 가능한 공구 상자의 모든 공구를 최대한 활용하여 밸리데이션을 진행함으로써 밸리데이션의 완전성을 높이도록 한다.
]]>
1. 개요
위험관리는 의료기기의 수명 주기(Life-cycle)에 걸쳐 위험을 분석, 평가, 통제하는 일에 대한 관리정책, 절차 및 실무의 체계적인 적용을 수행함으로써 의료기기와 연관된 위험을 최소화하는 일련의 활동입니다.
2. 적용 규격(국제표준)
ISO 14971:2019, Medical devices - Application of risk management to medical devices
3. 위험관리의 이해
GMP의 목적은 지속적 개선이고, 궁극적으로는 이를 통한 의료기기의 안전성과 유효성의 확보입니다. 안전성과 위험은 상반되는 개념이지만, 위험이 없는 상태를 나타내는 안전성과 위험을 최소화한 위험관리는 그 맥을 함께하고 있습니다. 바로 이 부분에서 위험관리의 위상을 확인할 수 있습니다.
사용적합성, SW 밸리데이션도 위험관리의 한 부분이며, 거의 모든 부분이 깊이 들여다 보면 위험관리와 연관되는 부분임을 알 수 있습니다. 사용적합성은 사용오류, SW 밸리데이션은 SW의 작동오류, 교육훈련은 인원에 대한, 포장 밸리데이션은 포장에 대한 위험관리인 것입니다.
4. 위험관리의 주요 프로세스
1) 위험분석
위험요인을 식별하고 위험을 산정하기 위한 유용한 정보의 체계적인 사용
2) 위험평가
위험의 허용가능성을 결정하기 위해, 정해진 위험 기준과 산정된 위험을 비교하는 과정
3) 위험통제
위험을 규정된 수준 이하로 줄이거나 그러한 수준 이내로 유지하기 위하여 의사결정을 도출하고 예방조치를 구현하는
프로세스
4) 생산 및 생산 후 활동
생산 및 생산 후 단계에서 제품과 관련된 정보를 적극적으로 수집하고 검토하기 위한 활동
5. 맺음말
거의 모든 영역과 깊은 연관성을 맺고 있는 매우 중요하고 근간이 되는 위험분석(위험관리)과 내부감사 및 GAP 분석을 판단의 근거 및 객관적 검증을 통한 전반적 문제 해결을 위한 도구로 적극적으로 활용할 수 있기를 바랍니다.
※ 수명주기 (Life-cycle) : 최초 개발 단계에서 최종 폐기까지의 의료기기 수명의 모든 단계
감사합니다.
]]>
1. 소프트웨어 밸리데이션(SW Validation)의 개요
소프트웨어 밸리데이션은 이미 수행해 오던 위험관리의 보다 세분화된 한 부분으로, 여러 위험요소 중에서 특별히 소프트웨어에 의해 발생할 수 있는 위험을 소프트웨어 밸리데이션을 통해 줄여보자는 것으로, Software life-cycle processes에 관한 규격인 IEC 62304의 요구사항에 따라 SW 개발 수명주기의 다양한 단계에서 계획, 실행되는 연속적인 활동(Activity)과 작업(Task)의 산출물을 바탕으로 소프트웨어의 요구사항(사용목적)이 충족되고 있음을 객관적 증거로 입증하고 문서화하는 일련의 활동이다.
2. 적용 규격(국제표준)
• IEC 62304(2006+AMDI:2015) : Medical device software - Software life-cycle processes
• General Principles of Software Validation (2002) : FDA Guidance
3. 일반 요구사항
1) 운영체계, 프로그래밍 언어 등의 소프트웨어 개발환경을 소프트웨어 개발 계획서(SW Development Plan)에 상세히 기술한다.
2) 시스템 시험을 통하여 개발된 소프트웨어가 요구사항에 적합함을 최종적으로 입증하여야 한다.
3) IEC 62304의 요구사항을 준수하며, 그에 따라 생성된 산출물을 바탕으로 진행한다.
4. 소프트웨어의 안전등급 분류
1) IEC 62304 및/또는 FDA 가이드라인에 따라 소프트웨어의 안전등급을 등급 A(Minor), 등급 B(Moderate), 등급 C(Major)로
분류한다.
2) 분류된 소프트웨어의 안전등급에 비례하여 소프트웨어 밸리데이션 활동에 대한 문서화의 수준을 진행한다.
3) 소프트웨어의 안전등급 분류는 위험의 심각도만을 기준으로 판단한다. (위험의 발생가능성은 100%인 것으로 간주)
5. 소프트웨어 밸리데이션의 문서화
1) 소프트웨어 개발 계획서(SW Development Plan)
2) 소프트웨어 밸리데이션 보고서(SW Validation Report)
(1) Level of Concern
(2) Software Description
(3) Device Hazard Analysis
(4) Software Requirement Specification (SRS)
(5) Architecture Design Chart (ADC)
(6) Software Design Specification (SDS)
(7) Traceability Analysis
(8) Software Development Environment Description
(9) Software Verification, Validation Documentation
(10) Revision Level History
(11) Unsolved Anomalies
감사합니다.
]]>★ 제조품목인증 (의료용 윤활제)
★ 제조 GMP (체외용 의료용품)
★ 위험관리 (의료용 윤활제)
★ 사용적합성 (의료용 윤활제)
★ QMS 소프트웨어 밸리데이션 (Service Cloud)
★ 교육 훈련 (Training Program)
]]>
★ 교육 훈련 (Training Program)
★ 수입품목인증 (전동식 의료용 흡인기)
★ QMS 소프트웨어 밸리데이션 (Bar Tender)
