恩智浦通过全球医疗健康网络安全认证

现代医疗保健行业已全面拥抱数字化变革。如今，医院和临床环境高度依赖互联医疗设备，实现高效的诊断、监测和治疗。然而，这种广泛的连接也增加了攻击面。医院网络中新增的每一台设备，都是潜在的网络攻击入口，可能被恶意行为者利用。结果如何呢？网络安全已经与患者安全及监管合规性紧密相连，不可分割。

全球各地的监管机构正积极应对这一挑战。从美国食品药品监督管理局 (FDA) 到欧盟的医疗器械法规 (MDR/IVDR)，网络安全已成为产品审批的重要基准。医疗设备制造商面临的压力与日俱增，必须证明其开发实践安全可靠，并确保整个产品生命周期内的技术实施始终符合严格的安全标准。

为应对这些挑战，恩智浦自豪地宣布，我们的安全开发流程已成功通过IEC81001-5-1认证。IEC81001-5-1是全球健康软件和IT系统网络安全领域的先进国际标准。

IEC 81001-5-1认证是什么？有何作用？

IEC 81001-5-1旨在填补医疗行业长期存在的安全标准缺口。尽管加密和安全启动等技术保障措施已被广泛接受，但该行业在软件开发流程方面仍缺乏统一、正式的安全标准。该新标准借鉴了工业领域的IEC62443-4-1标准的基本结构，建立了一个覆盖整个生命周期的框架，专门用于互联医疗设备和健康软件。

从根本上说，IEC81001-5-1采用基于风险的安全方法，确保在产品开发过程中得到充分保护。它明确规定了整个软件生命周期的流程，包括规划、开发、维护及漏洞响应。与此同时，该标准强调安全编码最佳实践，要求威胁模型、风险评估及缓解措施之间具备清晰的可追溯性。

IEC81001-5-1明确规定了专为医疗软件设计的安全开发生命周期。恩智浦的认证流程建立了从设计到部署的完整可追溯性，强化了风险管理与安全编码实践。

现代医疗设备日益依赖复杂的、多供应商的硬件和软件协议栈。IEC81001-5-1认识到这一挑战，并引入了一种系统级医疗设备网络安全方法。该标准确认单个设备的安全不仅取决于自身的设计，还涉及其预构建组件和第三方库的安全状态，基本涵盖整个供应链。

IEC81001-5-1强调对组件交互的整体评估，而非孤立地分析单个组件。该标准推动风险管理的整体性视角，重点关注个体和整体漏洞如何在整个系统中扩散，并强调在设备生命周期内进行持续监测的重要性。

此外，IEC81001-5-1倡导透明度与可追溯性。它要求制造商详尽记录外部组件及其已知漏洞，并建立配置管理系统，以跟踪随时间变化的安全状态。这些要求不仅提升安全性，还提供清晰、符合审计的合规证据，助力企业满足监管要求。

2022年12月，美国食品药品监督管理局 (FDA) 正式承认IEC81001-5-1为共识标准，为其在510(k) 及其他法规提交文件中的应用奠定了基础。同时，该标准也被纳入欧盟MDR和IVDR的“一般安全与性能要求”(GSPR) 合规指南。

恩智浦的开发流程已成功通过IEC81001-5-1认证，确保医疗应用的开发安全可靠。查看相关医疗网络安全认证文件，点击这里>>

恩智浦如何获得IEC81001-5-1流程认证?

获得IEC81001-5-1合规认证意味着恩智浦已将医疗级网络安全控制深度整合到其产品开发流程中。

该认证由DEKRA进行评审，验证恩智浦的开发工作流程符合该标准的安全软件生命周期管理相关要求。所有评估均依据DEKRA自有认证方案进行。工作流程涵盖威胁建模、漏洞跟踪、安全配置管理及安全问题解决的正式流程。这些安全机制已在恩智浦的基础设施中全面落地，并适用于汽车 (ISO/SAE21434) 和工业 (IEC62443-4-1) 等其他受监管行业。

恩智浦通过调整现有框架，以满足IEC81001-5-1规定的具体程序和文件要求，成功建立了一套符合FDA认可标准和欧盟监管指南的认证流程。

对客户有何积极影响？

获得IEC81001-5-1流程认证后，恩智浦进一步加强了医疗设备制造商对其产品的信任。制造商采用恩智浦预验证的构建模块，可制造安全的医疗产品。通过提供第三方验证的安全保障，确保所有组件来自安全、成熟的开发环境，大幅减轻客户在合规方面的负担。

对于设计团队而言，早期决策更加简化。医疗设备制造商无需从零开始构建安全开发框架，或调整不符合要求的组件以适应受监管环境，相反，他们可以放心集成恩智浦组件，确保底层开发工件严格遵循IEC81001-5-1标准。

对于系统架构师来说，该认证提供了一种可靠的供应商尽职调查记录方法，涵盖漏洞分析、安全更新机制和事件通知工作流程等关键环节。在监管机构看来，这些均属于制造商的责任，而恩智浦的认证则帮助企业建立基于最佳实践的可审计证据，有效减轻合规性负担。

安全性取决于最薄弱的环节。恩智浦的认证强化了供应链的整体安全性，让医疗设备制造商能够全面掌控每个组件的来源与完整性。

面向未来的设计

医疗行业正经历快速发展。AI驱动的诊断和远程患者监护等新技术正不断提升系统集成的复杂性，同时也加剧了网络安全风险。

IEC81001-5-1认证使医疗设备制造商能够更加自信地扩展业务，确保其基础设施组件符合全球公认的安全开发标准。

虽然IEC81001-5-1目前尚未强制要求单个组件认证，但行业趋势正朝着这一方向演进，即将出台的《网络抗风险能力法案》(CRA) 进一步印证了这一变化。随着监管框架的不断成熟，满足或超越这些安全标准的组件将成为行业普遍要求，而非例外情况。

值得庆幸的是，该认证现已深度集成至恩智浦的医疗产品开发工作流程。面对不断变化的监管环境，我们持续扩展安全开发实践，以满足整个医疗设备价值链的新兴安全需求，其中包括IEC60601-4-5，这是IEC62443-4-2针对医疗市场的优化版。

了解更多关于我们的解决方案如何支持医疗保健领域的安全与合规创新，包括符合IEC81001-5-1标准，点击这里>>

本文作者

Carlos Serratos，恩智浦半导体物联网认证专家。在恩智浦担任物联网认证专家期间，他与不同垂直行业和地区的政策制定者、监管机构和行业进行了沟通，以解决合规性、风险管理和问责制方面的信任支持问题。他精通安全法规合规性、方案与标准的制定，并深入研究这些方案与标准在物联网市场中的应用。目前，他正在参与连接标准联盟的产品安全工作组，共同主持产品安全认证和监管活动。

本文作者

Daniel Kiraly，恩智浦半导体信息安全经理，确保各场地和开发流程符合IEC81001-5-1、IEC62443-4-1、ISO21434、CRA、TISAX、ISO27001等标准。凭借Common Criteria评估员与审计员的专业背景，他致力于强化开发流程与管理系统的网络安全合规性，以满足客户需求。秉持高效协作的工作方式，他在技术严谨性与跨职能团队之间建立起紧密联系。