Key Topics
Terms and concepts identified from this document
Scope & Applicability
Product Classes
15범용 하드웨어에 설치되어 질병을 예방, 관리 또는 치료하기 위한 목적으로 사용됨
정보 전송 및 임시저장 정보 삭제 대상 시스템
GMP 기준 중 사용적합성 적용 시기 (22.1.1~)
범용초음파영상진단장치로부터 영상을 전송받는 소프트웨어
게이트웨이에서 정보를 전송하는 대상 시스템
단말기 추가 시 경미한 변경으로 분류되는 품목
하드웨어 형태의 진단지원시스템
유헬스케어 혈압계 기준
소프트웨어 그 자체로서 의료기기의 사용 목적에 부합하는 기능을 가지는 소프트웨어
임상시험계획 승인 사례로 제시된 품목
동등공고제품 목록 (분류번호 A26380.01)
위험관리 보고서 작성 예시 품목; 사이버보안 적용사례 대상 품목; 품목분류번호 E05110.02에 해당하는 2등급 의료기기 소프트웨어; 생체신호 송수신 및 유지보수를 수행하는 소프트웨어; 의료기기 사이버보안 필수원칙 체크리스트 적용사례 대상
신청행위에 사용되는 장비, 재료 등
범용 컴퓨터 환경에서 운영되는 의료기기 소프트웨어 분류; 기능 확인 화면 사진과 사용방법 기재 대상
유방암 예후 위험도 측정 장치에 포함된 소프트웨어 형태
Stakeholders
9대표이사 직속으로 MDSAP 프로세스의 중앙 핵심 역할을 수행; 경영대리인으로서의 역할; 품질문서 제·개정 검토 및 기록 관리 감독자; 조직의 고객 대리인으로서 CAR 수신 및 대응 책임자; MDSAP 심사의 관리 및 보고를 담당하는 인원; AO 변경 승인 및 심사 결과 보고 대상; 품질경영시스템의 요구사항 이행 및 유지 관리 책임자; 품질경영시스템의 이행 및 유지를 보장할 책임이 있는 자; 품질경영시스템의 요구사항이 효과적으로 규정, 문서화, 이행, 유지되었음을 보장할 책임
의료기기와 상호작용하는 주체; 의료기기와 상호작용하는 사람; 의료기기의 의도된 사용을 수행하는 주체; 의료기기를 사용하는 주체; 기기를 사용하는 실제 사용자 및 유지관리, 보수, 폐기 담당자 포함; 의료기기를 직접 사용하는 주체; 의료기기를 실제로 사용하는 주체; 의료기기의 실제 사용자 및 대표 사용자; 의료기기를 실제로 사용하는 사람 또는 테스트 참여자; 의료기기의 의도된 사용자; 모의실험에 참여자로 참가하는 실제 의료기기 사용자
임상적 성능시험용 체외진단의료기기를 보관 및 관리하는 자
기기 유지보수를 위해 계정 권한을 가진 관리자
기기 접속 권한을 가진 사용자
메인보드에 직접 접근하여 업데이트를 수행하는 주체
개발경위에 관한 자료를 작성하고 제출하는 주체
Device Components
11디버깅 및 기기 접속을 위한 하드웨어 인터페이스; 디버깅 포트 등 기기 접속 경로
환자감시장치와 블루투스로 연결되는 구성 요소
환자감시장치와 연결되는 구성 요소
환자감시장치와 연결되는 구성 요소
환자감시장치와 연결되는 구성 요소
의료기기에 포함된 소프트웨어 구성요소
초음파 정보 분석 소프트웨어
자극신호를 음향 압력파로 전환하고 반사된 파동을 수신하는 구성요소; 자극신호를 음향 압력파로 전환하는 카테터의 핵심 부품
의료정보를 저장하지 않고 송신하는 기능의 주체
설계 및 개발 또는 공정관리에 사용되는 구성요소
의료기기가 펌웨어를 통합하는지 여부 기술
Regulatory Context
Regulatory Activities
2가이드라인에서 사례를 제시하는 규제 활동
디지털치료기기 및 소프트웨어의 규제 승인 활동
Document Types
15사이버보안 요구사항 검증을 위해 제출 가능한 자료
사용방법을 설명하기 위한 제출자료 예시; 사용방법을 설명하기 위한 제출 자료
단계별심사 4단계 제출 서류; 단계별심사 4단계에서 제출하는 심사 자료
사용 전 숙지해야 할 문서
위험통제 조치 실행을 확인하는 자료
유사성 입증을 위한 근거자료
사용방법에 관한 자료 제출 파일 예시
위해 요인을 파악하고 위험을 최소화하기 위한 계획서
위험관리 프로세스에서 생성되는 일련의 기록 및 기타 문서
사이버보안 확인을 위해 제출해야 하는 서류; 제조자가 요구사항 적합성 여부를 확인하기 위해 사용하는 문서
사이버보안 가이드라인의 요구사항 적용 여부 점검
위험관리 보고서 관련 문서
가이드라인에서 작성을 안내하는 주요 보고서
위험분석 및 경감 조치 결과를 기재하는 표 형식의 보고서
사이버보안 가이드라인 표 3에 따른 제출 서류
Attributes
3위해의 빈도 (Frequent, Probable, Occasional, Remote, Improbable, Incredible)
결과의 영향 정도를 의미하며 위해 분석의 지표로 사용된다.
제품 설명에 기재해야 할 사이버보안 관련 특성
Regulatory Terms
6위험 평가 결과에 따른 비수락 판정 (N/ACC)
인지치료소프트웨어의 의료기기 등급
정보 및 서비스에 대한 접근 및 사용이 보장되는 것
사이버 공간에서의 정보의 정확성과 완전성을 보존하는 것
정보가 허가되지 않은 사람에게 공개되지 않게 하는 기능
합리적으로 실현할 수 있는 가장 낮은 영역
Technical Details
Substances
4중앙감시장치 전송 시 임시저장 후 삭제되는 정보
암호화 대상이 되는 데이터 (환자데이터, 인증정보)
전송 시 암호화가 필요한 데이터 대상
기기제어에 사용되는 내장 소프트웨어
Testing Methods
7파일 무결성 확인을 위한 해시 알고리즘 예시; 무결성 검증을 위해 사용되는 해시 알고리즘
데이터 송수신 시 사용되는 암호화 알고리즘
게이트웨이와 진단지원시스템 간 보안 특성
혈압계와 게이트웨이 간 통신 사양
통신 구성별 사이버보안 심사 사례의 통신 방식
핸드폰과 전동식 외골격 장치 간의 무선 통신 방식
통신 구성별 사이버보안 심사 사례의 통신 방식
Processes
15사이버보안에 영향을 미치는 변경 사항 발생 시 규정 준수 필요
소프트웨어의 신뢰도를 높이고 위험을 낮추기 위한 활동
무허가 업데이트 방지를 위한 보안 조치
전송 정보 유출 방지를 위한 설계 변경
주기적 비밀번호 변경 기능 및 사용자 주의 제공
설정 메뉴 접근 및 업데이트 시 권한을 확인하는 프로세스
업데이트 및 실행파일 실행 전 변조 여부를 확인하는 프로세스; 업데이트 파일 및 실행파일에 대한 무결성 검증
제조원 서버에서 VPN을 통해 수행되는 프로세스
잔여위험에 대한 허용 가능성 평가 단계
비인가자의 조회 시 데이터 노출을 방지하기 위한 수단
사용자별 접근 권한 관리 프로세스
통제조치 후 잔여위험 및 통제조치로부터 발생하는 위험을 평가
위험을 규정된 수준 이하로 감소시키거나 유지하도록 하는 과정
위해요인을 식별하고 위험을 산정하기 위해 가용정보를 체계적으로 사용하는 것
Wi-Fi, 블루투스, RF 통신 등을 포함하는 통신 방식
Clinical Concepts
2유헬스케어 의료기기의 사용 목적
위해상황으로 인해 발생할 수 있는 Harm
Identified Hazards
Hazards
15새로운 보안 위협에 대응하기 위한 업데이트의 대상
바이러스, 스파이웨어, 랜섬웨어 등 기기 무결성을 해치는 요소
비인가자의 시스템 접속 위협
네트워크 접속 장비에 대한 보안 위협
전송 정보의 유출 및 중간자 공격을 통한 위변조 수단; 전송 정보의 유출을 유발하는 공격 기법
환자감시장치의 오작동을 유발하는 위해요인
제품 소프트웨어 코드에 대한 분석 및 평가 대상
정보가 알 수 없는 방법으로 암호화되어 진료 불가; 정보가 알 수 없는 방법으로 암호화되어 열람 불가한 상태; 정보를 암호화하여 열람을 불가능하게 하는 악성 소프트웨어
스니핑 등을 통한 데이터 위변조 위협; 스니핑 등 전송 시 위변조를 유발하는 공격; 전송 정보 및 설정 정보의 위변조를 유발하는 공격 기법; 전송 정보의 유출 및 위변조 위협
무허가 업데이트, 시스템 로그 부재 등의 위해요인; 위해요인 식별 항목 (PM-07~PM-14)
보안사고 발생 시 대응절차 부재
악성코드를 포함한 실행파일 업로드 시도
인증 절차의 취약점을 통한 권한 획득 시도
인증절차 없이 임의의 제공자로부터 업데이트 (UH-09)
위변조된 펌웨어나 소프트웨어를 이용한 업데이트 시도 (UH-08)
Standards & References
External Standards
1안전성에 관한 시험 기준
ISO Standards
1의료기기 위험관리(Risk Management)에 대한 국제 규격; 의료기기 위험관리 국제 표준
Specifications
1위험관리계획서에 포함되어야 할 기준
MFDS Specific
MFDS Organizations
5가이드라인 문의 및 관리 부서
가이드라인 작성 및 검토 부서 소속 기관
혁신의료기기 군별평가 항목 평가를 수행하는 부서
안내서에 대한 의견 및 문의를 담당하는 부서
Corrective Actions
2위험 완화를 위해 수행되는 조치
위험통제 조치가 필요한 위해요인은 총00개로서 아래의 표와 같다.
Violations
3위해요인 식별을 위한 관련 자료로 활용되는 국외 리콜 사례
전송 정보의 위변조를 위한 공격 방식
인증 절차의 취약점을 통한 권한 획득 시도
Referenced Korean Laws (2)
「의료기기 제조 및 품질관리 기준」
한국의 의료기기 GMP 기준; 국내 '의료기기 제조 및 품질관리 기준 적합인정(KGMP)'; 한국의 GMP 기준 (품질절차서 매핑용); MDSAP 적합인정서 보유 시 서류검토 및 현장조사 규정의 근거
「의료기기 허가ㆍ신고ㆍ심사등에 관한 규정」
의료기기 허가 및 심사 관련 고시; 디지털치료기기 허가·심사 가이드라인의 기반 규정
Related MFDS Guidelines (8)
- 의료기기의 사이버보안 허가·심사 가이드라인
- 활동성 및 주의력 장애(ADHD) 개선 디지털치료기기 안전성·성능 평가 및 임상시험계획서 작성 가이드라인
- 경도인지장애 개선 디지털치료기기 안전성 성능 평가 및 임상시험계획서 작성 가이드라인
- 섭식장애 개선 디지털치료기기 안전성·성능 평가 및 임상시험계획서 작성 가이드라인
- 의료기기 국제표준화기술문서 작성 해설서
- 우울장애 개선 디지털치료기기 안전성·성능 평가 및 임상시험계획서 작성 가이드라인
- 공황장애 개선 디지털치료기기 안전성·성능 평가 및 임상시험계획서 작성 가이드라인
- 의료기기 국제표준화기술문서의 위험 관리 작성 가이드라인