何為威脅建模？

威脅建模是一種系統(tǒng)化的方法，可以用來識(shí)別、評(píng)估和優(yōu)先考慮可能影響信息系統(tǒng)或應(yīng)用程序安全性的威脅。在醫(yī)療器械領(lǐng)域可以用來加強(qiáng)醫(yī)療器械的網(wǎng)絡(luò)安全性。確保醫(yī)療器械產(chǎn)品在設(shè)計(jì)和開發(fā)過程中考慮安全性。

醫(yī)療器械為何要做威脅建模呢？

１．識(shí)別資產(chǎn)

威脅建?？梢院芮逦卣故境鱿到y(tǒng)中需要被保護(hù)的關(guān)鍵資產(chǎn)、數(shù)據(jù)、硬件、軟件和服務(wù)等。

２．合規(guī)要求

在醫(yī)療器械網(wǎng)絡(luò)安全領(lǐng)域，許多組織包括ＦＤＡ在內(nèi)的，要求醫(yī)療器械制造商在設(shè)計(jì)和生產(chǎn)和配套軟件的開發(fā)中要考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，而威脅建模是一個(gè)很好的方法來幫助醫(yī)療器械能符合這些安全標(biāo)準(zhǔn)，降低合規(guī)風(fēng)險(xiǎn)。

３．識(shí)別潛在威脅

威脅建模還可以幫助醫(yī)療器械制造商系統(tǒng)地識(shí)別和分類設(shè)備中的潛在威脅，使制造商能提前了解到產(chǎn)品可能遭受網(wǎng)絡(luò)攻擊的點(diǎn)，同時(shí)對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行合理的評(píng)估。

４．增強(qiáng)安全設(shè)計(jì)

醫(yī)療器械制造商意識(shí)到產(chǎn)品的不足后，就可以迅速組織團(tuán)隊(duì)在產(chǎn)品設(shè)計(jì)和開發(fā)階段對(duì)產(chǎn)品進(jìn)行改進(jìn)，以免后期整改帶來的高昂的成本。

５．設(shè)計(jì)緩解措施

根據(jù)威脅建模和風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)計(jì)和實(shí)施相應(yīng)的緩解措施，降低風(fēng)險(xiǎn)。

ＦＤＡ要求

威脅建模是符合ＦＤＡ（美國食品藥品監(jiān)督管理局）要求的重要組成部分，ＦＤＡ對(duì)醫(yī)療器械的安全性和有效性有嚴(yán)格的監(jiān)管。

風(fēng)險(xiǎn)管理：ＦＤＡ強(qiáng)調(diào)醫(yī)療器械必須采用風(fēng)險(xiǎn)管理過程，包括對(duì)潛在的網(wǎng)絡(luò)安全威脅的識(shí)別和評(píng)估。

文檔要求：ＦＤＡ要求醫(yī)療器械制造商提供詳細(xì)的文檔，包括識(shí)別的威脅和評(píng)估的方法以及采取的緩解措施。這些文檔通常需要在提交５１０（ｋ）或ＰＭＡ（上市前審批）時(shí)提供。

持續(xù)監(jiān)測與管控：當(dāng)醫(yī)療器械通過審批正式投入市場，仍然需要對(duì)產(chǎn)品進(jìn)行跟蹤監(jiān)測，定期更新威脅建模和安全緩解措施。

（文章來源于健康界）