美国食品药品监督管理局(FDA)近日发布了一份重要文件,旨在帮助采供血机构(包括输血服务机构)加强网络安全实践,以防止和缓解可能影响血液和血液成分可用性和安全性的网络安全事件。近年来,网络安全事件频繁发生,严重扰乱了医疗保健系统和采供血机构的正常运营。采供血机构在血液的采集、加工、标签和发放等各个环节中广泛使用计算机系统和网络,这些系统的高度互连性使得网络安全事件的影响尤为严重。从网络安全事件中恢复可能需要数周甚至数月的时间,这期间采供血机构的血液分离和供应能力可能会受到影响。
为了应对这些挑战,FDA建议采供血机构采取一系列措施来加强其网络安全弹性。首先,根据21 CFR 606.100的规定,采供血机构必须为其运营的各个环节建立、维护和遵循标准操作程序(SOP),并考虑在SOP中加入预防和减轻网络安全事件的措施。其次,采供血机构应参考卫生与公众服务部(HHS)的网络安全绩效目标(CPG),实施高影响力的网络安全实践,如缓解已知漏洞、确保电子邮件安全、使用多重身份验证、提供基本的网络安全培训等。此外,采供血机构还应制定在计算机系统不可用时的生产步骤SOP,确保在网络安全事件发生后能够继续运营。
文章还指出,采供血机构在网络安全事件发生后恢复正常运营可能需要较长时间,因此建议采供血机构制定长期持续运营的程序。同时,采供血机构应使用制造商当前支持的采供血机构计算机软件(BECS)设备和版本,以确保其能够接收例行更新和补丁,防止网络安全事件的发生。此外,采供血机构还应定期进行培训,以确保员工熟悉网络安全实践和事件处理流程。
翻译:广州血液中心 谢桂芸
校对:广州血液中心 陈锦艳
Important Information for Blood Establishments Regarding Cybersecurity Resiliency
The Food and Drug Administration (FDA) is providing this information to blood establishments.
December 5, 2024
点击进入:英文原版PDF查询下载系统
