Key Topics
Terms and concepts identified from this document
Scope & Applicability
Product Classes
11임상시험계획 승인 사례로 제시된 품목
내장형 또는 독립형 소프트웨어 기능을 가진 앱
가이드라인의 적용 대상 제품; 기술문서 작성을 위한 가이드라인의 대상 품목; 가이드라인의 주요 대상 품목; 가이드라인의 대상이 되는 의료기기 품목; 가이드라인의 대상 제품군
전자파 안전성 시험 요약 예시 제품
범용 하드웨어에 설치되어 질병을 예방, 관리 또는 치료하기 위한 목적으로 사용됨
하드웨어에 종속되지 않고 독립적인 형태의 소프트웨어만으로 이루어진 의료기기; 디지털치료기기의 정의적 분류; 범용 장비를 통해 제공되는 ADHD 치료용 소프트웨어
신청행위에 사용되는 장비, 재료 등
WHO 사전적격인증 프로그램의 대상 제품군
사전상담 대상 의료기기; 사전상담 대상 제품 분류
사전상담 대상 제품
소프트웨어로만 존재하는 의료기기
Stakeholders
7백업을 사용하여 복구를 수행할 수 있는 주체
계정 관리 기능을 수행할 수 있는 권한을 가진 주체; 감사로그에 읽기 전용으로 접근할 수 있는 권한을 가진 주체
암호키 설정 및 관리 절차를 문서화해야 하는 주체
임상적 성능시험용 체외진단의료기기를 보관 및 관리하는 자
의료기기와 상호작용하는 주체; 의료기기와 상호작용하는 사람; 의료기기의 의도된 사용을 수행하는 주체; 의료기기를 사용하는 주체; 기기를 사용하는 실제 사용자 및 유지관리, 보수, 폐기 담당자 포함; 의료기기를 직접 사용하는 주체; 의료기기를 실제로 사용하는 주체; 의료기기의 실제 사용자 및 대표 사용자; 의료기기를 실제로 사용하는 사람 또는 테스트 참여자; 의료기기의 의도된 사용자; 모의실험에 참여자로 참가하는 실제 의료기기 사용자
개발경위에 관한 자료를 작성하고 제출하는 주체
Device Components
2물리적 변조 방지 기능이 적용되어야 하는 의료기기 연결 부위
설계 및 개발 또는 공정관리에 사용되는 구성요소
Regulatory Context
Regulatory Activities
5디지털치료기기 및 소프트웨어의 규제 승인 활동
기허가 제품의 사항이 변경될 때 수행하는 규제 활동
의료기기 허가·심사 신청시 제출한 자료
MDSAP 프로그램에 따른 의료기기 품질시스템 심사
Document Types
15변경제품의 사이버보안 적합성을 입증하는 제출자료
전문기관에서 시험한 자료로 제출 가능한 인증서
인장강력 품질검사 결과 문서
제품의 성능을 확인하기 위한 제출 자료; 소프트웨어의 적합성을 증명하기 위해 제출하는 기술 자료
시험규격 설정 근거 자료로 제출 가능
사이버보안 확인을 위해 제출해야 하는 서류; 제조자가 요구사항 적합성 여부를 확인하기 위해 사용하는 문서
소프트웨어의 의도와 수행 방식을 기술한 문서
사용자 식별 정보 및 보안 기능 동작 결과 기록; 무결성 오류에 대한 탐지 결과 기록; 구성 설정 변경 시 생성되는 기록
주의사항 및 사용법이 기재된 문서; 제품에 수반되는 부속문서; 기기 사용법 및 주의사항이 포함된 부속 문서
위험 통제 조치와 관련된 요구사항을 정의하는 문서
새로운 분석방법 이용 시 제시해야 하는 validation report
의료기기 사이버보안 위험관리의 5단계 결과물
인허가 동시 신청 시 제출하는 서류
허가·심사 시 제출해야 하는 자료
허가·심사 시 제출해야 하는 자료
Attributes
5감사기록에 포함되어야 하는 날짜 및 시간 정보
개체가 원본의 인증 및 무결성 검증을 통해 소유하고 있다고 주장하는 속성
개인의료정보가 허가되지 않은 방법으로 변환되거나 파괴되지 않도록 하는 기능; 정보보안의 3요소 및 출력 정보의 품질 특성; 배포 방법 선택 시 고려해야 하는 소프트웨어의 특성
내부 양압에 의해 공기가 통하지 않도록 유지해야 하는 성질
데이터가 필요할 때마다 검토 가능하도록 저장되어야 하는 속성
Regulatory Terms
2정상 작업 상태가 아닌 경우 실행되는 fail safe 모드
권한 부여 시 직무 수행에 필요한 최소한의 권한만 할당하는 원칙
Technical Details
Substances
1기기제어에 사용되는 내장 소프트웨어
Testing Methods
11불필요한 포트 및 서비스 활성화 여부 확인 시험
DoS 공격 시뮬레이션을 위한 시험 도구 (예: STC)
비식별화 알고리즘 확인 후 수행하는 시험 방법
전송 중인 정보의 암호화 여부를 확인하기 위한 시험 방법
업데이트 파일의 진본성 및 무결성을 검증하기 위한 수단
무결성 점검 방법의 적절성 확인
네트워크 패킷 분석을 통해 세션 생성 및 종료를 확인하는 도구; 패킷 모니터링 및 분석 도구
통신 무결성 보호를 위한 암호화 프로토콜
비밀번호 저장 시 보안성 확인 방법
인터페이스별 사용자 식별 및 인증 기능을 확인하기 위한 시험 도구
정보를 특정한 규칙에 따라 변형하여 저장함으로써 해독방법을 모르면 내용을 알아볼 수 없도록 하는 기술
Processes
14제품 수명주기 전반에 걸친 위험 분석 및 통제 프로세스; 위험성 분석, 평가 및 관리를 위한 활동
DoS 이벤트 중에도 의료기기가 유지해야 하는 핵심 기능
전송 중인 정보의 기밀성을 보호하기 위한 방법
SI-08 의료기기의 성능 향상을 위한 프로세스
SI-08 의료기기의 기능 개선 및 보안 패치 프로세스
Site Acceptance Testing
Factory Acceptance Testing
로그인 시 사용자에게 보안 경고 및 모니터링 사실을 알리는 프로세스
연속적인 로그인 시도 실패 시 접근을 거부하는 보안 프로세스
계정 관리 및 식별정보 관리 기능의 정상 동작 확인 절차
위험을 감소시키기 위한 설계 고려, 예방조치, 안전정보 제공 활동
DSUR 18.1항에서 수행하는 안전성 평가 활동
위험요인을 식별하고 위험을 산정하기 위한 정보의 체계적 사용; 위험관리 공정의 첫 번째 단계로 위험 요인을 식별하고 분석하는 과정; 체외진단용 의료기기의 특수성을 고려한 분석 지침; 위험경영 과정의 개요 중 하나로 적용범위 정의, 위험 요인 식별 등을 포함; 위험 관리 프로세스의 첫 번째 단계 (Risk Analysis); 위험을 식별하고 추정하는 기술적 프로세스
의료기기의 기본 안전, 필수 성능 등을 유지하기 위해 요구되는 기능
Identified Hazards
Hazards
11위험관리 요약의 주요 분석 대상; 위험관리 요약에서 다루는 주요 요소; 안전대책 대응이 요구되는 위해요인; 위험관리 과정에서 파악해야 하는 요소
설계 문서에 명시되지 않은 열린 포트로 인한 보안 취약점
의료기기 가용성을 저해하는 DoS(Denial of Service) 공격
오류 처리 미흡으로 인해 발생할 수 있는 보안 위험
데이터 필드 검증을 통해 방어해야 할 보안 위협
입력값 검증을 통해 방어해야 할 보안 위협
입력값 검증을 통해 방어해야 할 보안 위협
감사 처리 실패의 원인 중 하나
소프트웨어/하드웨어 오류 또는 저장 용량 초과로 인한 이벤트
자원 가용성을 위협하는 공격 형태
바이러스, 스파이웨어, 랜섬웨어 등 기기 무결성을 해치는 요소
Standards & References
External Standards
10가이드라인 개정에 적용된 의료전기기기 보안 요구사항 기술 보고서
가이드라인 개정에 적용된 국제 산업 자동화 및 제어 시스템 보안 규격
산업 자동화 및 제어 시스템 보안 표준
산업 통신 네트워크 보안 요구사항
식별정보 관리에 사용되는 인증서 표준
상위 수준 계정 관리 시스템의 예시
상위 수준 계정 관리 시스템의 예시 (Lightweight Directory Access Protocol)
사이버보안 규제의 국제조화를 위해 적용된 기술 보고서 규격
사이버보안 규제의 국제조화를 위해 적용된 한국 산업 표준
사이버보안 규제의 국제조화를 위해 적용된 규격
ISO Standards
4보안 기능 검증 요구사항 참조 표준
의료기기 위험관리(Risk Management)에 대한 국제 규격; 의료기기 위험관리 국제 표준
권장 프로토콜 참조 표준
개정 시 적용된 국제규격 요구사항
MFDS Specific
MFDS Organizations
4가이드라인 작성 및 검토 부서 소속 기관
혁신의료기기 군별평가 항목 평가를 수행하는 부서
가이드라인 문의 및 관리 부서
Organizations
4IoT 보안 인증서를 발급하는 전문기관
사이버보안 가이드 발행처
EICAR, 테스트 파일 제공 기관
국제 의료기기 규제당국자 포럼; International Medical Device Regulatory Forum reviewed for safety information.; MDSAP 모델을 규정한 국제 의료기기 규제당국자 포럼; MDSAP 관련 국제 가이드라인을 발행하는 조직; MDSAP 요구사항 관련 문서 발행 기구
Activities
6포트, 프로토콜, 서비스 중 불필요한 항목의 사용 제한
의료기기의 보안 인터페이스를 통한 설정 변경 활동
중단 또는 장애 상황 발생 후 안전한 상태로 되돌리는 작업
데이터 보호를 위한 백업 프로세스 수행
감사기록 생성 대상 보안 이벤트 유형
공격을 일으킬 수 있는 위해성을 최소화함으로써 위협, 취약성 또는 공격의 결과를 감소시키는 활동
Related Law Articles (2)
- 의료기기허가·신고·심사등에관한규정_제29조「의료기기 허가·신고·심사 등에 관한 규정」 제29조
첨부자료의 요건
의료기기 허가ㆍ신고ㆍ심사 등에 관한 규정
- 디지털의료제품법_제14조「디지털의료제품법」 제14조
전자적 침해행위로부터의 보호 조치
디지털의료제품법
Referenced Korean Laws (8)
「보건의료기본법」
가이드라인의 참고 문헌
「디지털의료기기 전자적 침해행위 보안지침(식약처 고시)」
인공지능 보안에 관한 요구사항을 언급하는 고시
「의료기기 제조 및 품질관리 기준」
한국의 의료기기 GMP 기준; 국내 '의료기기 제조 및 품질관리 기준 적합인정(KGMP)'; 한국의 GMP 기준 (품질절차서 매핑용); MDSAP 적합인정서 보유 시 서류검토 및 현장조사 규정의 근거
「의료기기법」
호주 당국의 의료기기 관련 법령
「체외진단의료기기법」
2020년 5월 제정되어 현재 체외진단의료기기를 관리하는 법령
「디지털의료제품법」
디지털의료제품의 제품명과 모델명의 정의 기준 법령; 디지털의료제품의 허가 및 전환의 근거 법령; 제품명과 모델명의 정의를 다루는 법률적 배경; 법 시행 전 제조·수입 중인 제품에 대한 경과 조치 관련; 데이터임상시험 실시 시 준수 법령; AI/ML 기능 추가 시 적용되는 법률; 디지털의료기기 업 허가 및 전환의 근거 법률
「의료법」
의료인 단체 및 신의료기술평가의 근거법
「개인정보 보호법」
수집된 개인정보의 관리 기준
Related FDA Guidelines (2)
- Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions: Guidance for Industry and Food and Drug Administration Staff (Status: Final)medium
- Postmarket Management of Cybersecurity in Medical Devices: Guidance for Industry and Food and Drug Administration Staff (Status: Final)medium