課程介紹
隨著AI人工智慧的廣泛應用,醫療體系也開是納入AI的版圖,也是我們俗稱的智慧醫療或AI醫療。智慧醫療結合資通訊科技應用在降低醫療成本、提升醫療效率、增進醫療品質,並透過穿戴式裝置、物聯網、健康資訊及數據創價等工具來實現精準醫療之願景。
在網路資訊應用普及的世代,人們對於資訊安全的意識也逐漸抬頭,為加強智慧醫療在資安的前提下被廣泛的應用,政府也在2021年5月公告「醫療器材網路安全指引」,也明確提出需要廠商上市前審查所需提供的設計、風險管理與資安測試等文件。
醫療器材之所以需要網路安全的保護,是降低醫療費用的重要關鍵之一,保證醫療器材能夠正常運作。而資安的重要性也在進行智慧醫療時逐漸被人們認知。因此,醫療器材網路安全的重要性不可或缺。醫療器材資安是指醫療器材的安全、可靠、保固及服務。對於智慧醫療器材而言,一個好的資安模式能夠提供醫療器材的安全、可靠與保障醫療資訊的方式。
本課程主要引導學員理解ISO 14971:2019醫療器材風險管理標準、ISO 13485:2016 醫療器材品質管理系統標準、IEC 62304:2015 醫療軟體確效法規與實務,以及國際醫療器材網路安全評估規範,並提供血糖機、雲端身體資訊監控等醫材範本,逐步建構學員對於醫療器材在資訊安全的風險評估,課後並安排證書考試,通過即可取得臺灣醫學設計學會證書。
「醫療器材網路安全指引」的8大醫材資安風險評估:
為確保醫材設備的有效性與安全性,醫材設備開發商需參考ISO 14971:2019醫療器材風險管理標準(Medical devices – Application of risk management to medical devices)評估相關風險。在面對網路安全攻擊,醫材設備開發商需考量資訊處理上可能面臨的安全威脅,包括偽造使用者身份、竄改健康記錄及個資洩露等問題。血壓機與血糖機等僅提供單純的量測功能的傳統個人醫材,通常不具備使用者身份識別機制。然而,為因應智慧醫療需求,勢必得增加個人健康紀錄與大數據分析以進行診斷之功能。因此,醫材設備開發商需將識別使用者身份、連網儲存方式及資料傳輸機制等使用情境,均應列為風險分析的評估項目。
醫材設備若透過藍芽、WiFi等連線技術傳輸個人健康資料或診斷結果時,應根據不同的傳輸方式所面臨的網路安全風險之攻擊向量、攻擊複雜度、使用權限及操作介面等因素評估風險的危險程度,並於開發過程時決定可接受的殘餘風險。這部份可參考CVSS通用漏洞評分系統的評估基準,透過資安專家評估或模擬網路攻擊,以針對網路安全風險發生之可能性進行優先排序,協助開發人員有效因應與管控。
針對風險分析結果中所涵括的網路安全風險活動,醫材設備開發商應提出合適的技術或管理措施進行驗證。舉例來說,前文所提的醫材設備在連網環境下可能面臨健康記錄被竄改與竊取的風險,醫材設備開發商應就此風險提出透過傳輸通道加密或資料加密機制措施,並透過實際驗證作業確保其技術或管理措施之有效性。若產品本身受限技術發展與應用情境無法提供加密機制時,製造業亦應提供管理措施降低風險發生之可能,如:傳輸資料時提供使用者訊息提示或在使用手冊上加註資料傳輸之注意事項。
以往醫材設備在上市後的服務主要以硬體維修與保固為主,但是對於具連網服務之設備,所搭載的作業系統或開發平台、應用軟體、雲端服務及委外開發或營運廠商的監控機制也都是必須持續提供更新的項目。因此,在開發階段亦應將作業系統、軟體及服務維運與更新納入產品上市後服務範疇,以防在上市後產品涉及資安弱點或事故時無法作出有效因應。
在醫材設備開發商廣泛使用開放原始碼套件的情況下,醫材設備也會受到開放原始碼套件弱點的影響。因此,醫材設備開發商須特別留意作業系統與開放原始碼套件是否存在新的安全問題,並針對新的安全問題,採取相對應的應變機制。因此,建議醫材設備開發商定期追蹤與觀察資安新聞,亦可搭配工具主動追蹤各大資安新聞平台與弱點資料庫,並協助過濾與產品相關的弱點,以節省開發人員過濾相關資訊的時間,將人力與時間資源有效利用在弱點驗證與修補。
上述開發過程中所分析出的網路威脅與上市後所識別出的資安漏洞,須定期檢視現有的技術或管理管控措施是否有效與合理。建議醫材設備開發商可搭配產品規劃發展時程,在進行功能檢視的同時,一併檢視網路威脅與資安漏洞的風險管控措施。然而,在缺乏資安專業人員的醫材設備開發商,建議可選擇與外部的資安專家或顧問合作,搭配適用的管控措施與流程,將會是較好的方式。由具資安評估經驗的顧問協助備妥法規所需的網路安全檢視文件與記錄,以利主管機關查閱。
面對資安漏洞,以往醫材設備開發商不瞭解這些資安弱點可能帶來的嚴重後果,然而資安漏洞就像是Covid-19的傳染病源一樣,很難根絕,沒有作業系統或應用軟體能自稱是沒有缺陷的,一旦有心人士想破壞,可以傾注大量的時間和人力發掘弱點,找到破口。如果不正視這些資安漏洞,屆時會像疫情一樣難以控制,不僅傷害公司名譽,甚至可能造成人體危害而面臨求償。許多國際化企業品牌商也開始積極面對資安弱點,提供資安研究者通報產品漏洞的管道,並協助使用者透過軟體或韌體更新修正產品漏洞,減少資安漏洞所帶來的損害。
8.安全有效性相關的軟體更新
提供安全有效的軟體持續維運是未來智慧醫療服務的一大課題,具備開發能力的團隊,應在產品例行改版時確認相關系統與套件是否已更新至最新版本,並思考未能即時修補的漏洞如何納入新的產品規格中。而委外開發或維運的設備業者,更應妥善規劃委外廠商的責任義務,確保安全有效的軟體持續維運及軟體供應鏈安全。另外醫材設備開發商也應提供軟體更新,透過更新檔案簽章方式,確保更新檔能正確的被下載、佈署及安裝。
課程特色/目標
理解ISO 13485:2016 醫療器材品質管理系統標準、ISO 14971:2019醫療器材風險管理標準、IEC 62304:2015 醫療軟體確效法規,並應用在資安風險評估中。
課程對象
- 醫療器材產業
- 有醫材新產品上架需求之企業/PM
- 醫療器材相關公協會
課程特色
- 快速吸收ISO 13485:2016 醫療器材品質管理系統標準、ISO 14971:2019醫療器材風險管理標準、IEC 62304:2015 醫療軟體確效法規。
- 從案例中學習醫療器材的網路安全風險評估。
- 42小時課程考核通過後可取得臺灣醫學設計學會證書。
先備知識
- 具有美國FDA、歐盟EMA規章概念佳
- 擁有資安風險評估佳
講師簡介
工研院特聘講師 許教授
專長領域:
資訊安全領域:
資訊安全、密碼學技術與應用、駭客攻防技術與應用、行動商務安全與應用、數位版權管理、自動辨識技術、數位鑑識與資訊法律、5G暨物聨網安全、區塊鏈技術、資訊安全稽核與管理、雲端安全授權
智慧醫療/智慧長照領域:
穿戴式裝置與物聨網之創新應用、區塊鏈創新應用、智慧照護機器人、PHR連續性照護服務、智慧健康照護決策分析、智慧健康促進系統與可用性評估、智慧醫療/智慧長照創新應用系統開發與評估
醫療資訊安全領域:醫療資安管理與稽核、醫療IT/OT安全防護、健康資訊系統之隱私保護、同意書手寫簽署安全性、行動醫療安全、醫療資安之法遵要求與防護
課程大綱
|
課程 |
單元 |
上課日期 |
時間 |
內容 |
|
醫療器材網路安全與風險評鑑 |
【單元一】 醫材國際標準與法規 |
6/28(三) 6hr |
09:30~16:30 |
ISO 13485:2016 醫療器材品質管理系統標準簡介 |
|
6/29(四) 6hr |
09:30~16:30 |
ISO 14971:2019醫療器材風險管理標準簡介 |
||
|
6/30(五) 6hr |
09:30~16:30 |
IEC 62304:2015 醫療軟體確效法規與實務簡介 |
||
|
【單元二】 醫材網路安全實務 |
7/4(二) 6hr |
09:30~16:30 |
國際醫療器材網路安全風險評估規範 |
|
|
7/5(三)、7/6(四) 12hr |
09:30~16:30 |
國際醫療器材網路安全風險評估實務 |
||
|
7/7(五) 6hr |
09:30~16:30 |
國際醫療器材網路安全風險評估個例討論 |
價格
|
課程 |
課程費用 |
單元 |
單元費用 |
|
醫療器材網路安全與風險評鑑 |
• 原價:36,000/人 • 14天前早鳥價:32,000/人 • 2人以上團報價:30,000/人 • 30天前超早鳥價:28,000/人 |
【單元一】 醫材國際標準與法規 |
• 原價:16,000/人 • 14天前早鳥價:14,000/人 • 2人以上團報價:13,000/人 • 30天前超早鳥價:12,000/人 |
|
【單元二】 醫材網路安全實務 |
• 原價:21,000/人 • 14天前早鳥價:19,000/人 • 2人以上團報價:18,000/人 • 30天前超早鳥價:16,000/人 |
常見問題
Q1:如何何時得知課程開課?
A1:我們將於課程前一週信件通知,敬請學員留意信件。
Q2:如果我是海外用戶可以報名嗎?要如何繳費?
A2:可以哦,若你的所在地非台灣地區,可使用「信用卡、金融 Visa 卡付費」(Visa、Master、JCB)的方式付款,於任何地區參與課程。另「手機號碼」欄位,請於開頭加上「國際電話區域碼」。
Q3:請問退費程序?
A3:學員於開訓前退訓者,將依其申請退還所繳上課費用90%,另於培訓期間若因個人因素無法繼續參與課程,將依上課未逾總時數1/3,退還所繳上課費用之50%,上課逾總時數1/3,則不退費。
貼心提醒
主辦單位:工業技術研究院 產業學院
報名方式:採線上報名,請至產業學院網站
課程洽詢:(03)591-8319 羅小姐
聯絡信箱:itri534318@itri.org.tw
★小提醒★
★為響應環保,提醒同仁課程當天需自行攜帶杯子,以避免使用紙杯的浪費。
★為確保您的上課權益,報名後若未收到任何回覆,敬請來電洽詢方完成報名。
★因課前教材、講義及餐點之準備及需為您進行退款相關事宜,若您不克前來,請於開課三日前告知,以利行政作業進行並共同愛護資源。
★若原報名者因故不克參加,但欲更換他人參加,敬請於開課前二日通知。
★為保障講師權益,學員上課期間不得進行錄音、錄影。
相關課程
推薦課程
