1. 목적

  의료기기의 사이버보안 위협사례(해킹, 정보 유출 등)로부터 통신이 가능한 의료기기의 안전관리를 확보하는 데 있다.

 

2. 적용 범위

  유·무선 통신(Wi-Fi, 블루투스, USB, RS-232, LAN 등)을 사용하거나 통신 경로가 존재하는 의료기기에 적용한다.

 

3. 사이버보안 기본원칙

  1) 의료기기의 사이버보안을 보장하기 위하여 가용성, 기밀성, 무결성이 준수되어야 한다.

  2) 제조자가 품질경영시스템에서 수립한 위험관리 프로세스 내에서 적용되어야 한다.

 

4. 사이버보안 요구사항

  1) 식별 및 인증(Identification and Authentication) : 시스템 사용 알림 메시지(IA-08) 등

  2) 사용 통제(Use Control) : 부인 방지(UC-07) 등

  3) 시스템 무결성(System Integrity) : 부트 프로세스 무결성 검증(SI-11) 등

  4) 데이터 기밀성(Data Confidentiality) : 안전한 암호화 사용(DC-03) 등

  5) 이벤트 적시 대응(Timely Response to Events) : 감사 로그에 대한 비인가된 접근 제한(TRE-01)

  6) 자원 가용성(Resource Availability) : 불필요한 기능 비활성화(RA-05) 등

5. 사이버보안의 적용

  1) 사이버보안 위험관리 과정을 통해 위해요인을 파악하고, 발생 가능한 위해를 최소화 및 차단하기 위한 설계변경 등의

     통제조치를 실행한다.

  2) 위험관리 과정에서 식별된 위해요인에 대한 통제조치의 결과를 소프트웨어 검증 및 유효성 확인의 단계에서 검증하며,

     소프트웨어 검증 및 유효성 확인의 자료에는 사이버보안 요구사항에 대한 시험 및 검증 절차, 시험 결과를 포함하여야 한다.

  3) 사이버보안 위험관리 문서와 소프트웨어 검증 및 유효성 확인 자료를 바탕으로 사이버보안 요구사항 체크리스트 작성하여, 

     사이버보안 요구사항이 개발 제품에 적용되었음을 검증한다.

 

6. 허가 및 심사를 위한 사이버보안 제출 자료

  1) 의료기기 사이버보안 요구사항 체크리스트

  2) 체크리스트의 요구사항에 대한 검증을 확인할 수 있는 자료

    (1) 소프트웨어 검증 및 유효성 확인 자료

    (2) 사이버보안 위험관리 문서

    (3) 성능 시험성적서

  3) 사이버보안 요구사항의 미적용 근거를 확인할 수 있는 자료 (해당되는 경우)

    (1) 사이버보안 위험관리 문서

    (2) 사용설명서

    (3) 설계문서 등

 

 

감사합니다.