와이즈컴퍼니 소개
와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 사이버보안 시험 및 문서화 지도 서비스를 제공하고 있습니다.
제품 정보와 필요하신 서비스를 info@wisecompany.org 로 보내주시면 성심성의껏 도움 드리도록 노력하겠습니다.
대상 의료기기
다음 중 하나라도 충족하거나 충족할 가능성이 있는 의료기기
- 다른 장치/시스템과 통신 가능한 경우
- 네트워크 또는 서버 연결이 있는 경우
- 무선 통신 사용 (Bluetooth, Wi-Fi 등)
- USB 포트 등 물리적 접근을 허용하는 경우
- 소프트웨어 / 펌웨어 다운로드 허용
- 클라우드 저장 또는 기타 서비스 사용
제공 서비스
✅ 사이버보안 시험
- Vulnerability Assessment
- Penetration Testing
✅ 사이버보안 문서화
- Threat Modeling
- Risk Management
- Assessment of Unresolved Anomalies
- Cybersecurity Metrics
- Cybersecurity Controls
- Architecture Views
- Cybersecurity Labeling
- Cybersecurity Management Plan
- Interoperability (필요 시)
AAMI TIR57 소개
오늘은 사이버보안 위험 관리에 있어서 중요한 역할을 하는 AAMI TIR57에 대해 알아보겠습니다.
AAMI TIR57은 의료기기에서 사이버보안 위험을 식별하고 관리하는 프레임워크를 제공하는 기술 정보 보고서(TIR)로, 의료기기 제조업체가 사이버보안 위험을 효과적으로 평가·관리할 수 있도록 지침을 제공합니다.
사이버보안 위험 관리는 ISO 14971 안전 위험 관리와 유사하지만, 악용 가능성(Exploitability)을 중심으로 하는 별도의 접근 방식을 요구합니다. 이에 FDA는 보안 위험 관리를 안전 위험 관리와 분리된 프로세스로 운영할 것을 권장하고 있습니다.
안전 및 보안 위험 관리의 연계
안전 위험 관리와 보안 위험 관리는 서로 연결되어 있으며, 하나의 통제 조치가 다른 유형의 위험을 유발할 수 있습니다.
예를 들어, 보안 강화를 위해 인증 절차를 강화하면 비상 상황에서 접근이 어려워지는 안전 위험이 새로 발생할 수 있습니다.
따라서 전체 위험 관리 프로세스에서는 보안과 안전 두 영역 모두에서 새로운 위험을 평가해야 합니다.
보안 위험 관리 절차 (AAMI TIR57)
1. 보안 위험 관리 계획
- 보안 위험 관리는 안전 위험 관리와 병행 수행
- 악용 가능성 기반 위험 평가
- 퍼즈 테스트, 침투 테스트 등 검증 방법 포함
- 코드 분석을 통한 의도하지 않은 기능 방지
2. 보안 위험 분석
- 위협: 공격자 능력, 공격 이득 분석
- 취약점: 보안 시험 기반 식별
- 자산: 기기, 소프트웨어, 데이터, 네트워크
- 부정적 영향: 기밀성·무결성·가용성 영향
3. 보안 위험 평가
식별된 위험은 감소 필요 여부를 평가하며, 수용 결정 시 근거 문서화가 필요합니다.
4. 보안 위험 통제
설계 기반 보안 → 제조 보호 → 정보 제공 순으로 통제하며, 잔여 위험은 재평가가 필요합니다.
5. 전반적인 잔여 위험 평가
ISO 14971 기준에 따라 전반적인 잔여 위험의 수용성을 평가합니다.
6. 보안 위험 관리 보고서
- 위험 분석 및 완화 추적성
- 보안 통제 검증 보고서 연계
- 보안 업데이트 및 패치 계획
- 악성코드 방지 조치 설명
7. 생산 및 생산 후 정보
생산 및 시판 후 단계에서 보안 위협과 통제 효과를 지속적으로 모니터링해야 합니다.
같이 알아보면 좋은 정보
👇🏻 👇🏻 👇🏻
문의
FDA 사이버보안 시험 및 문서화
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡 문의하기로 문의하시면 성심껏 답변하고 도움드리겠습니다.
와이즈 – 국내외 인허가 · 사이버보안 자문
와이즈컴퍼니(주) 카카오톡 문의하기
WISE COMPANY 
댓글 남기기