Key Topics
Terms and concepts identified from this document
Scope & Applicability
Product Classes
10U-healthcare medical device 품목 분류
임상시험계획 승인 사례로 제시된 품목
가이드라인의 적용 대상 제품; 기술문서 작성을 위한 가이드라인의 대상 품목; 가이드라인의 주요 대상 품목; 가이드라인의 대상이 되는 의료기기 품목; 가이드라인의 대상 제품군
전자파 안전성 시험 요약 예시 제품
범용 하드웨어에 설치되어 질병을 예방, 관리 또는 치료하기 위한 목적으로 사용됨
신청행위에 사용되는 장비, 재료 등
WHO 사전적격인증 프로그램의 대상 제품군
사전상담 대상 의료기기; 사전상담 대상 제품 분류
사전상담 대상 제품
소프트웨어로만 존재하는 의료기기
Stakeholders
7문서 작성에 도움을 준 외부 전문가
백업을 사용하여 복구를 수행할 수 있는 주체
의료기기와 상호작용하는 주체; 의료기기와 상호작용하는 사람; 의료기기의 의도된 사용을 수행하는 주체; 의료기기를 사용하는 주체; 기기를 사용하는 실제 사용자 및 유지관리, 보수, 폐기 담당자 포함; 의료기기를 직접 사용하는 주체; 의료기기를 실제로 사용하는 주체; 의료기기의 실제 사용자 및 대표 사용자; 의료기기를 실제로 사용하는 사람 또는 테스트 참여자; 의료기기의 의도된 사용자; 모의실험에 참여자로 참가하는 실제 의료기기 사용자
임상적 성능시험용 체외진단의료기기를 보관 및 관리하는 자
계정 관리 기능을 수행할 수 있는 권한을 가진 주체; 감사로그에 읽기 전용으로 접근할 수 있는 권한을 가진 주체
개발경위에 관한 자료를 작성하고 제출하는 주체
Device Components
3물리적 변조 방지 기능이 적용되어야 하는 의료기기 연결 부위
GC와 MS를 연결하는 transfer line
설계 및 개발 또는 공정관리에 사용되는 구성요소
Regulatory Context
Regulatory Activities
3시판 1개월 전 위해성 관리 계획 제출 및 승인 절차; 위해성관리계획 버전 변경 또는 개요 제출 후 본 계획서 제출
기허가 제품의 사항이 변경될 때 수행하는 규제 활동
디지털치료기기 및 소프트웨어의 규제 승인 활동
Document Types
15허가·심사 시 제출해야 하는 자료
위해요인 목록표와 관련되어야 하는 문서
기술문서 구성을 위한 요약 자료
전체 목차를 작성해야 하는 대상
인장강력 품질검사 결과 문서
사이버보안 확인을 위해 제출해야 하는 서류; 제조자가 요구사항 적합성 여부를 확인하기 위해 사용하는 문서
허가 및 변경 시 제출해야 하는 필수 서류
유사성 입증을 위한 근거자료
정보 변경 사항을 추적 관리하는 기록
정보 변경 시 인가된 사용자에 의해 이루어짐을 관리하는 기록
허가·심사 시 제출해야 하는 자료의 범위를 정함
변경제품의 사이버보안 적합성을 입증하는 제출자료
건강보험심사평가원의 검토를 거쳐 신청인에게 결과 통보되는 서류
성능 및 혁신성을 입증하기 위한 자료; 기술 구현 근거 및 실현 가능성 확인 자료; 기술의 실현가능성 확인 자료; 성능 및 작용원리 입증을 위한 근거 자료; 작용원리 및 성능에 관한 입증 자료; 작용원리 및 성능 입증을 위한 제출 자료; 작용원리 및 성능을 입증하기 위한 제출 자료
KISA에서 발급하는 보안 인증서
Attributes
6기술문서 작성 시 기재해야 하는 경고 및 일반적 주의사항
모양 및 구조-특성 항목에 기재해야 하는 정보
백업 정보 내 민감한 데이터를 보호하기 위한 수단
공격자에게 악용될 수 있는 정보를 포함하지 않아야 하는 피드백
감사기록에 포함되어야 하는 날짜 및 시간 정보
세션 잠금을 시작하기 위해 설정된 시간
Regulatory Terms
3요구사항 적용 여부 및 제외 사유를 기재하는 항목
모바일 코드 실행을 허용하지 않거나 접속 기능이 없는 경우의 면제 조건
권한 부여 시 직무 수행에 필요한 최소한의 권한만 할당하는 원칙
Technical Details
Substances
2기기제어에 사용되는 내장 소프트웨어
토큰, 대칭키, 개인키, 생체 인식, 암호, 비밀번호 등
Testing Methods
12데이터 보호를 위해 사용되는 기술 (AES, RSA 등)
네트워크 패킷 생성 도구 등을 이용한 가용성 시험
비식별화 알고리즘을 검증하기 위한 시험 도구
전송 중인 정보의 암호화 여부를 확인하기 위한 시험 방법
업데이트 파일의 진본성 및 무결성을 검증하기 위한 수단
무결성 점검 방법의 적절성 확인
통신 무결성 보호를 위한 암호화 프로토콜
네트워크 패킷 분석을 통해 세션 생성 및 종료를 확인하는 도구; 패킷 모니터링 및 분석 도구
모바일 코드의 진위성을 확인하는 시험 방법
인증정보 암호화에 사용되는 해시 알고리즘
비밀번호 저장 시 보안성 확인 방법
인터페이스별 식별 및 인증 기능을 확인하기 위한 시험 도구
Processes
15사이버보안에 영향을 미치는 변경 사항 발생 시 규정 준수 필요
유·무선 통신 방식 등 사이버보안 확인 사항
제품 수명주기 전반에 걸친 위험 분석 및 통제 프로세스; 위험성 분석, 평가 및 관리를 위한 활동
사이버보안 정보를 검토하기 위한 체계적인 절차 수립 단계
통제 후 남은 위험에 대한 평가
위험성 관리 프로세스의 세 번째 단계; 허용 불가능한 위험을 감소시키기 위한 조치 식별 및 수행
위험 허용 기준에 따른 위험 감소 필요성 결정
위해요인 식별 및 위험산정 단계
효과적이지 않다고 판단된 프로세스
비인가자의 조회 시 데이터 노출을 방지하기 위한 수단
사이버보안에 영향을 미치는 변경 사례 (안드로이드, iOS 등)
사이버보안 영향 평가의 핵심 판단 기준 (USB, 블루투스 등)
제2부 개요의 구성 항목
의료기기 사용 전 펌웨어 및 소프트웨어의 무결성을 확인하는 절차
SI-08 의료기기의 성능 향상을 위한 프로세스
Identified Hazards
Hazards
15소프트웨어로 통제 조치를 할 수 있는 위험 요소
위험관리 요약의 주요 분석 대상; 위험관리 요약에서 다루는 주요 요소; 안전대책 대응이 요구되는 위해요인; 위험관리 과정에서 파악해야 하는 요소
위험통제 조치 후에도 남아있는 위험
가용성, 기밀성, 무결성 준수를 통해 최소화해야 하는 위험
의료기기의 해킹, 정보 유출 등 사이버보안 위협사례
의료기기의 해킹, 정보 유출 등 사이버보안 위협사례
바이러스, 랜섬웨어 등 기기 무결성을 위협하는 요소
분산 서비스 거부 공격으로 실시간 제어 장비에 치명적임
의료기기 가용성을 저해하는 DoS(Denial of Service) 공격
오류 처리 미흡으로 인해 발생할 수 있는 보안 위험
데이터 필드 검증을 통해 방어해야 할 보안 위협
입력값 검증을 통해 방어해야 할 보안 위협
입력값 검증을 통해 방어해야 할 보안 위협
소프트웨어/하드웨어 오류 또는 저장 용량 초과로 인한 이벤트
자원 가용성을 위협하는 공격 형태
Standards & References
External Standards
11국제 의료기기 규제 당국자 포럼의 사이버보안 원칙
산업 통신 네트워크 보안 요구사항
타임스탬프 생성을 위한 Network Time Protocol 서버 기반
식별정보 관리에 사용되는 인증서 표준
상위 수준 계정 관리 시스템의 예시
상위 수준 계정 관리 시스템의 예시 (Lightweight Directory Access Protocol)
사이버보안 규제의 국제조화를 위해 적용된 기술 보고서 규격
사이버보안 규제의 국제조화를 위해 적용된 한국 산업 표준
사이버보안 규제의 국제조화를 위해 적용된 규격
가이드라인 개정에 적용된 국제 산업 자동화 및 제어 시스템 보안 규격
가이드라인 개정에 적용된 의료전기기기 보안 요구사항 기술 보고서
ISO Standards
3의료기기 위험관리(Risk Management)에 대한 국제 규격; 의료기기 위험관리 국제 표준
보안 기능 검증 요구사항 참조 표준
권장 프로토콜 참조 표준
Specifications
4품질보증의 요소로 실측데이터와 이론적 허용 폭을 고려하여 설정
사이버보안 정책과 일관성을 유지하며 측정 가능한 수준으로 수립해야 하는 목표
제품의 특성에 따라 적용할 수 있는 보안 요구사항
적합성 입증을 위한 요구사항 목록
MFDS Specific
MFDS Organizations
5가이드라인 문의 및 관리 부서
가이드라인 작성 및 검토 부서 소속 기관
혁신의료기기 군별평가 항목 평가를 수행하는 부서
안내서에 대한 의견 및 문의를 담당하는 부서
Organizations
15전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
전문가협의체 참여 산업계 업체
도움을 주신 외부 기관
체외진단의료기기 기술문서심사기관 및 시험검사기관
전문가협의체 참여 학계 기관
IoT 보안 인증서를 발급하는 전문기관
Activities
7보안위협에 대해 소프트웨어로 수행하는 활동
검증 도중 발생 시 재시험 결과를 포함해야 함
시판 후 부작용 관리 포함
장애 발생 후 의료기기를 안전한 상태로 되돌리는 프로세스
전자문서의 안전한 보관을 위한 필수 작업
비밀번호 등을 별표(*) 등으로 표시하여 노출 방지
접속 시도 후 아이디와 비밀번호를 통한 수행 여부 확인
Corrective Actions
1감사 처리 실패에 대응하여 직원에게 경고하는 수단
Related Law Articles (2)
- 의료기기허가·신고·심사등에관한규정_제29조「의료기기 허가·신고·심사 등에 관한 규정」 제29조
첨부자료의 요건
의료기기 허가ㆍ신고ㆍ심사 등에 관한 규정
- 디지털의료제품법_제14조「디지털의료제품법」 제14조
전자적 침해행위로부터의 보호 조치
디지털의료제품법
Referenced Korean Laws (10)
「디지털의료제품법 시행규칙」
제19조 디지털의료기기 변경허가 등의 법적 근거
「의료기기 허가ㆍ신고ㆍ심사등에 관한 규정」
의료기기 허가 및 심사 관련 고시; 디지털치료기기 허가·심사 가이드라인의 기반 규정
「보건의료기본법」
가이드라인의 참고 문헌
「의료기기 제조 및 품질관리 기준」
한국의 의료기기 GMP 기준; 국내 '의료기기 제조 및 품질관리 기준 적합인정(KGMP)'; 한국의 GMP 기준 (품질절차서 매핑용); MDSAP 적합인정서 보유 시 서류검토 및 현장조사 규정의 근거
「전자적 침해행위 보안 지침(식약처 고시)」
인공지능 보안 등을 언급하는 식약처 고시
「개인정보 보호법」
수집된 개인정보의 관리 기준
「의료법」
의료인 단체 및 신의료기술평가의 근거법
「의료기기법」
호주 당국의 의료기기 관련 법령
「체외진단의료기기법」
2020년 5월 제정되어 현재 체외진단의료기기를 관리하는 법령
「디지털의료제품법」
디지털의료제품의 제품명과 모델명의 정의 기준 법령; 디지털의료제품의 허가 및 전환의 근거 법령; 제품명과 모델명의 정의를 다루는 법률적 배경; 법 시행 전 제조·수입 중인 제품에 대한 경과 조치 관련; 데이터임상시험 실시 시 준수 법령; AI/ML 기능 추가 시 적용되는 법률; 디지털의료기기 업 허가 및 전환의 근거 법률
Related FDA Guidelines (2)
- Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions: Guidance for Industry and Food and Drug Administration Staff (Status: Final)medium
- Postmarket Management of Cybersecurity in Medical Devices: Guidance for Industry and Food and Drug Administration Staff (Status: Final)medium