FDA对于包含网络安全内容的医疗器械，提交注册资料时，要求上传相应的Cybersecurity Labeling.

以下是可能包含在标签中的信息示例，以便向用户传达相关的安全信息：

1、适用于预期使用环境的推荐网络安全控制相关的设备说明和产品规格（例如，反恶意软件、防火墙的使用、密码要求）。

2、为用户提供足够详细的图表，允许实施推荐的网络安全控制。

3、预期接收和/或发送数据的网络端口和其他接口的列表。此列表应包含端口功能的描述，并指示端口是传入、传出还是两者兼而有之，以及批准的目标端点。

4、为用户提供有关支持基础设施要求的具体指导，以便设备能够按预期运行（例如最低网络要求、支持的加密接口）。在适当的情况下，此类指导应包括允许安全网络部署和服务的技术说明，以及用户在检测到网络安全漏洞或事件时如何应对的说明。

5、SBOM，或按照行业公认的格式有效管理其资产，了解已识别漏洞对医疗器械系统的潜在影响，并部署对策以维护器械的安全性和有效性。制造商应持续向用户提供或提供SBOM信息。如果使用在线门户，制造商应确保用户拥有包含准确信息的最新链接。SBOM应采用机器可读格式。

6、用户下载版本可识别的制造商授权软件和固件的系统程序的描述，包括用户如何知道软件何时可用的描述。

7、描述该设计如何使设备在检测到异常情况（即安全事件）时做出响应。这应该包括通知用户和记录相关信息。安全事件类型可以是配置更改、网络异常、登录尝试或异常流量（例如，向未知实体发送请求）。

8、对保护关键功能的设备功能的高级描述（例如备份模式、禁用端口/通信）。

9、备份和还原功能以及还原经过身份验证的配置的过程的描述。

10、描述由经过身份验证的授权用户保留和恢复设备配置的方法。

11、对装运设备的安全配置的描述、用户可配置更改的说明，以及可能增加医疗设备系统安全风险的用户可配置变更的标识。安全配置可能包括端点保护，如反恶意软件、防火墙/防火墙规则、允许列表、拒绝列表、安全事件参数、日志参数和物理安全检测，以及凭据重置等。

12、在适用于预期使用环境的情况下，描述如何捕获证据，包括但不限于为安全事件保留的任何日志文件。日志文件描述应包括日志文件如何、在何处以及以何种格式定位、存储、回收、归档，以及如何被自动分析软件（如入侵检测系统（IDS）或安全信息和事件管理（SIEM））使用。

13、有关设备网络安全（不包括组件）支持终止和寿命终止的信息（如果已知或预期）。在支持结束时，制造商可能无法再合理地提供安全补丁或软件更新。如果设备在支持结束后仍在使用中，制造商应该有一个预先建立和预先沟通的流程来转移风险，强调最终用户的网络安全风险可能会随着时间的推移而增加。

14、通过清除产品中的敏感、机密和专有数据和软件，安全地停用设备的信息。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑