一、前言

醫療器材網路安全(Cybersecurity)，是針對醫療器材因網路行為或資料傳輸引起的安全問題，防止醫療器材被未經授權的存取、修改、誤用或拒用，使功能減損而導致病患傷害，或避免資訊係經由醫療器材被未經授權的存取或轉移至外部接受者。

為利製造廠確保醫療器材之網路安全(Cybersecurity)，爰制訂「適用於製造廠之醫療器材網路安全指引」。本指引提出製造廠於產品設計、研發、申請查驗登記及產品核准上市後應考量之網路安全相關事宜。本指引為行政指導文件，各界可自行參酌運用。

本指引內容為中央主管機關依據現行之參考資料擬定，惟科技發展日新月異，法規更新未逮之處，為確保國人健康安全，審查人員可能視產品軟體架構與設計之技術特點，要求廠商提供本指引所列項目外之網路安全驗證評估資料；另本指引將不定期更新。

本指引所引用之相關國際標準或指引若有更新版本，廠商得自行引用更新版本。另若有其他醫療器材網路安全相關國際標準，廠商亦得自行參考引用。

二、背景說明

隨著資通訊科技及網路應用快速發展，可連接網路、無線傳輸式(Wireless)醫療器材、醫療用行動應用程式(Mobile Applications, APP)、運用智慧型通訊手機之醫療器材 (Smartphone Based Devices)及雲端醫療應用也越加普及；產品所包含的軟體應用型態和傳遞之資訊內容更加複雜而多元，在不同醫療器材之間可能存在交互操作之控制連結，多項醫療器材亦可能透過網路連結，而構成複雜資訊系統的一部分。於此情況下，隨著使用無線傳輸、網際網路(Internet)及內網連接(intranet)技術的醫療器材日漸增加，醫療器材及醫療器材相關健康資訊(Medical Device-related Health Information)之電子資訊交換越加頻繁，如何有效的確保醫療器材之網路安全，以維護醫療器材的安全及效能為一重要考量。

隨著醫療器材所涉及的軟體及資訊系統的複雜化，醫療器材的網路安全已不能單獨依靠製造廠本身的維護措施來確保，包含使用者的操作習慣、設備的網路工作環境、資訊系統的連結等，都會影響到醫療器材的網路安全特性；另一方面，資訊技術的不斷進步，也

使網路攻擊的手法日新月異，任何系統都無法僅依賴特定的防護措施而能長期確保網路安全不受侵害。

因此，醫療器材的網路安全維護係屬於各關係者，包含醫療器材製造廠、醫療器材使用者(含醫療機構)、資訊系統整合業者、健康醫療資訊開發業者以及資料軟體販售業者等各種關係人的共同責任。若無法維護醫療器材的網路安全，將可能造成醫療器材功能性減損、醫療機構或個人資料可取得性或完整性降低，甚至使其他連接裝置或內網系統受到安全威脅，進而可能導致患者傷害、死亡等事件發生。

醫療器材製造廠應有一系列網路安全控制措施，以確保醫療器材之資訊安全，並維持醫療器材之安全及有效性。本指引提出製造廠於產品設計、研發、申請查驗登記時以及產品上市後應考量之網路安全相關要點。其餘關係者(如醫療機構及醫療器材操作人員、維護人員、資訊系統管理及整合者等)之網路安全措施非屬本指引探討範圍。

三、名詞定義

(一)、 網路安全(Cybersecurity)- 防止醫療器材被未經授權的存取、修改、誤用或拒用，

或避免資訊係經由醫療器材被未經授權的存取或轉移至外部接受者的過程。

(二)、 機密性(Confidentiality)- 資料、資訊及系統架構僅可由被授權之人員與實體機構存取使用，並且在授權時間點與授權方式下進行處理，以確保資料與系統安全性。機密性確保無未獲授權之使用者(如:只有被信任的使用者)可存取資料、資訊或系統架構。

(三)、 完整性(Integrity)- 資料、資訊、軟體、系統維持其準確與完整，且未受不當修改。

(四)、 可取得性(Availability)- 資料、資訊、資訊系統，在預期方式下可及時存取與使

用。

(五)、 傷害(Harm)-對人體實體的傷害或健康損傷(包括死亡)、對資產或環境的損害。

(六)、 身份驗證(Authentication)- 確認使用者身分、操作程序或裝置之動作，作為允許存取使用醫療器材裝置、數據資料、資訊或系統之前置要件。

(七)、 授權(Authorization)- 允許存取使用醫療器材裝置的權力或許可。

(八)、 威脅(Threat)- 經由未授權的存取行為、資訊的破壞、揭露、修改，或阻斷服務

（Denial of Service），而可能導致器材、組織營運（包括組織任務、功能、形象、聲譽）、組織資產、個人、其他組織受到不良影響的情況或事件。

(九)、 脆弱性(Vulnerability)- 可能被威脅來源(Threat Source)利用的資訊系統、系統安

全步驟、內部管控、人員行為上的弱點。

(十)、 威脅模型(Threat Modeling)- 藉由識別潛在攻擊目標與脆弱性來優化網路、應用程式及網路安全的方法，用於定義可防止或消除系統威脅的對策。對於醫療器材而言，威脅模型可用於識別出特定產品、特定產品線、組織供應鏈中可能導致患者傷害的漏洞與威脅，提升醫療器材的安全性。

(十一)、 補償性控制(Compensating Control)- 製造廠用來替代或補充產品內建安全設計

而採取的額外措施。這類控制不屬於原先設計的一部分，可於使用環境配置或可由使用者設置，以提供醫療器材補充性或同等性的網路保護。

(十二)、 可控風險(Controlled Risk)- 因網路安全脆弱性導致病患遭受傷害的殘餘風險

低至可被接受者，則稱此類風險為可控風險。

(十三)、 未受控風險(Uncontrolled Risk)- 出現的網路安全風險依現存之風險減輕措施及補償性控制仍無法讓病患遭受傷害的殘餘風險降至可被接受者，則稱此類風

險為未受控風險。

(十四)、 例行性網路安全更新與修補(Cybersecurity Routine Updates and Patches)- 強化醫療器材，用來提升醫療器材安全性並/或修正可能造成病患傷害的受控風險 (Controlled Risk)脆弱性，這類改變並非用於降低病患之未受控風險(Uncontrolled Risk)。包含任何用於提升醫療器材安全性之定期排程安全更新或修補，包括軟體、韌體、可程式邏輯、硬體、器材安全更新，以及早於定期排程預定週期所

執行並用於處理與受控風險相關之更新與修補。例行性網路安全更新與修補通常會被視為一種加強醫療器材安全之方式，可應用於與受控風險相關的安全脆弱性，但並非被視為一種修復。但應注意，用於去除/修補使用產品可能會導致嚴重健康不良後果或死亡的相關重大安全更新，則不屬於例行性網路安全更新與修補。

(十五)、 網路安全訊號(Cybersecurity Signal)- 網路安全訊號是任何表現出網路安全可

能或已確定發生網路安全脆弱性或異常行為的資訊，這種脆弱性或異常行為可

使醫療器材受到影響。網路安全訊號可源自於傳統的訊息來源，例如內部調查、上市後監督、申訴，與/或以安全為導向的消息來源，例如電腦/網路緊急事件回應/ 準備小組(Computer/Cyber, Emergency Response/ Readiness Teams， 簡稱 CERT)、威脅指標、安全研究人員。網路安全訊號可從醫療與公共衛生關鍵基礎設施內進行辨識，不過即使源自於其他關鍵基礎設施(例如國防、財政)的訊號，也可能影響醫療器材的網路安全。

(十六)、 異常行為(exploit)- 異常行為是一種安全威脅(意外或蓄意)造成一或多項脆弱性

的情況，不僅可能影響醫療器材的安全或基本必要效能，也可能將醫療器材作為載體，損害與其連線之器材或系統。