奥巴马政府执政的最后一年，FDA 的观察员们可能会记住FDA当局对医疗器械管理作出的有影响的两大举措：提出网络安全要求和FDA下属的器械与放射健康中心（CDRH）建立对“存在于现实世界的”器械进行监测的全国评估系统，后者是2016-2017时间段内三项战略优先事项之一。

这些事项中的每一项都在接受美国国会的审查，有些事项，特朗普政府和美国国会中的共和党多数人似乎可能会继续。

网络安全上的漏洞问题早在2005年的FDA指导文件中已经提出，但没有得到高度重视，直到两年以前，FDA器械与放射健康中心(CDRH)颁发了关于上市前要提交管理器械网络安全的指导文件草案，接着是2016年1月22日颁发医疗器械网络安全的上市后管理指南草案（Postmarket Management of Cybersecurity in Medical Devices）。

产业对FDA两个草案的反应是劝告性的，美国先进医疗技术协会（AdvaMed）在给FDA的文中对草案提出了若干意见，并敦促将两个文件结合，但AdvaMed没有反对CDRH提出的问题，只是说，文件不应写成“规定性”的，因为是指导文件，不应具有约束力。

AdvaMed对指南草案提了三条总体性意见：“(1) 从文中删除“基本的临床性能”，改为专注于维护器械的功能与安全；(2) 提供更多信息分享和分析机构的信息；(3) “继续依靠共识标准”，例如美国国家标准与技术研究院的改进临床基础设施架构。

在三月的一份博客白皮书中，重大基础设施网络安全协会建议FDA应采取更严格的行动。

该文写道：“医疗器械业是法规导向产业。现在医疗器械制造商和医疗提供者有能力驳回FDA 的建议。然而，每个组织和群体的最大利益是关注FDA的基本信息，采用综合性的以风险为基础的网络安全方案……这对于医疗提供者、医疗付款方和请求FDA制定指南的立法者都是有益的。”

11 月，美国国会与美国众议院能源和商业委员会委员Diana DeGette和Susan Brooks向FDA询问进一步减少黑客攻击、越权访问或在医疗器械中使用恶意软件计划的细节。

在致国会领导的信中，医学博士FDA器械与放射健康中心(CDRH)主任Jeffrey Shuren，医学博士、法学博士DeGette和Brooks说：“随着越来越多使用无线技术、因特网和联网器械，医疗器械有效的网络安全需求已经变得更加重要。”

“流通中的医疗器械有1500万件，范围从监护仪到输液泵，从呼吸器到放射技术，这些器械整合进了国家数字化医疗网络，这为网络攻击创造了可能的通道。因为网络攻击在继续快速发展，FDA必须努力，预防新出现的威胁，减轻现有的缺陷，评估器械在上市前和上市后条件下的网络韧性。”

在没有关于灾难性攻击的耸人听闻的大标题时，所有这些似乎只是为了慎重起见，但华盛顿联邦时报于2016年2月报告，通过信息自由法请求获得信息，2013 年1月至 2015年６月，FDA已经报告了1036个未指明的网络安全事件。

约一半事件归因于未授权访问，虽然FDA系统发现，21%是浏览、试探或企图进入，19%是恶意代码。报告没有把医疗器械从所有FDA的其它报告中分离出来。

2016年9月，美国政府问责局（GAO）报告，FDA７个重要的信息系统的安全控制检查发现，“大量的安全控制薄弱环节危及信息机密性、完整性和它的信息和系统的可用性。

美国政府问责局（GAO）报告说，FDA没有完全或没有一贯地实施访问控制，该访问控制用于预防、限制和检测对计算机资源未经授权的访问。报告说，特别是FDA“没有总是(1)充分地保护它的网络边界；(2)始终如一地鉴定和验证系统的用户；(3) 限制除了履行职责外的其他用户进入；(4)将敏感资料译成密码；(5)持续审核和监测系统活动；(6)对设施进行实体安全评估。”

作为回音，FDA信息官Todd Simpson称，“产业和公众健康信息的信息安全和保护都是FDA最优先的要务，我们不能对政府问责局（GAO）的报告中提出的建议掉以轻心。FDA已经迅速着手处理政府问责局概述的问题，问责局提出的项目建议中80% (15项中的12项)，技术建议中的61% (166项中的102项)已完全实施。我们预期，在未来几个月中，我们将完成剩下的三个项目建议，来年解决剩下的技术建议。”

问责局(GAO)的技术建议写在另一份报告中，该报告在有限范围内公布。报告中提出了166项建议，涉及与边界保护有关的信息安全薄弱环节、身份验证、授权、密码学、系统实体安全、配置管理和媒体保护。

Simpson在他的陈述中说，FDA将继续增强它的网络策略和程序，确保FDA信息安全系统持续地长期地为产业和公众信息提供充分的保护。他说：“在这些努力的支持中，我们获得了业内领先的专业知识，及时地参与了发展和行动计划，以及程序/项目管理活动，直接地解决了问责局(GAO)报告中所述的建议。”

早些时候，美国卫生和公众服务部总监年中报告中披露，FDA在器械审批过程中评估了联网医疗器械的网络安全。报告中说，审查报告预期于2017财政年度发行。

医疗器械网络安全的上市后管理指南（Postmarket Management of Cybersecurity in Medical Devices）正式版本最终于2016年12 月28日颁布。

国家评估系统

用了四年时间，FDA器械与放射健康中心（CDRH）新的医学工程国家评估系统(NEST)最后落成，该项目获得各方面的广泛支持，从而促进了所谓“真实世界的证据”对此的认可。

作为三个公布的2016-2017战略优先事项中的第一个，FDA器械与放射健康中心（CDRH）称，它需要一个国家的医疗器械评估系统，该系统“依赖和利用大量的每天作为日常医疗或居家医护中产生的信息和知识，例如使用监护设备的病人——这些，我们称之为“真实世界的证据”。

CDRH称，评估系统可以使用当天发生和收集的大量电子临床数据，当数据质量确保和应用先进的分析方法时，可以辨认安全信号和支持风险－效益分析。在未来，真实世界的证据能够支持上市前和上市后的管理决策制订。为了使这一愿景成为现实，我们必须开发系统，确保数据质量的适当和足够，从而可用于管理决策的制订，确保系统间数据的无缝流转，以及确保器械唯一性标识（UDI）结合进电子健康信息。

CDRH解释说，新系统由电子健康信息(EHI)、注册和保险付款资料组成。它也使用FDA的Sentinel（现在也称保险付款资料）倡议。

策略报告称：“国家评估系统是通过不同数据源的战略联盟、EHI中采用前进中的UDI、数据质量标准、互操作性和方法的发展开发出来的。”又称，“国家评估系统由公私合作操作，由包括政府的医疗器械生态系统中的各利益相关社团的代表组成的委员会管理。”

CDRH称，到2016年末，CDRH的工作人员应可以利用2500万个电子病历（来自国内和国际临床注册、保险付款资料和电子健康记录），连同器械识别资料。到2017年末，工作人员应能利用１亿份这样的记录。

关于该系统的更多信息，请查美国FDA网站。

想收获更多医疗器械创意？扫描下方二维码，关注Medtec China公众号，国际前沿医疗器械设计与制造深度好文一手掌握！