IEC 81001-5-1:2021 規範健康軟體與健康 IT 系統在產品生命週期中的安全活動:威脅建模、資安需求、安全設計與實作、資安測試、漏洞與事件處理、安全更新。它的結構刻意與 IEC 62304 對齊——把資安活動掛載到既有軟體生命週期上,而非另起爐灶。監管面的重量持續加重:FDA 對上市前送件的網路安全要求已制度化(資安文件、SBOM、漏洞管理計畫為審查要件),歐盟 MDR 的基本要求與後續 CRA 對含數位元素產品的義務也指向同一組活動。對智慧醫療業者,81001-5-1 是把「醫材合規」與「產品資安」兩條線縫起來的那根針。
與 62304/14971 的掛載關係
81001-5-1 的每類資安活動都對應 62304 的生命週期階段,威脅建模的輸出回饋 14971 風險檔案(資安危害=病患安全危害的一種)。三標準一體導入,文件互相引用而非互相重複。
與 FDA/CRA 的對應
FDA 上市前資安審查要求的核心元素——安全架構文件、威脅模型、SBOM、漏洞管理與更新計畫——與 81001-5-1 的活動清單高度同構;出口歐盟的連網醫療產品另須面對 CRA 的漏洞通報與支援期義務。一套依標準建立的制度,是同時回應兩地審查最經濟的路徑。
SBOM 與漏洞管理的常設化
健康軟體的資安義務不終於上市:SBOM 維護、第三方元件漏洞監測、安全更新交付要持續到支援期結束。積穗科研自身交付管線即每日產製、簽章與監測 SBOM——輔導的每一項要求,都是我們先在自己身上執行過的紀律。
適用對象
- 連網醫療器材與穿戴裝置商
- SaMD 與醫療 AI 開發商
- 準備 FDA 資安審查文件的製造商
- 出口歐盟、需同時面對 MDR 與 CRA 的業者
常見問題
已照 62304 開發,還要做 81001-5-1 嗎?
要。62304 管品質與安全(safety)流程,81001-5-1 補上資安(security)活動——威脅建模、資安測試、漏洞處理是 62304 沒有覆蓋的。好消息是兩者結構對齊,增量導入即可。
FDA 審查真的會看這些嗎?
會。網路安全文件已是上市前送件的審查要件:安全風險評估、威脅模型、SBOM、漏洞管理與更新計畫缺一不可,不足會收到補件要求(deficiency)。
醫院採購也在問資安,這個標準有幫助嗎?
有。醫院盡調問卷的資安題(漏洞通報管道、更新機制、元件清單)正是 81001-5-1 的產出物;具備制度的供應商在採購評估中具直接優勢。
和 ISO 27001 怎麼分工?
27001 管組織的資訊安全管理,81001-5-1 管產品的資安生命週期。兩者互補:組織制度(27001)支撐產品活動(81001-5-1)的執行與紀錄。