医疗设备合同流程的新方向

关键要点

医疗设备的合同流程历史上一直侧重于尽量降低制造商和医疗服务机构的前期成本，但最近，医疗和公共卫生部门协调委员会（HSCC）发布的指导意见意在改变这一模式。

在最近的网络研讨会中，HSCC网络安全执行主任GregGarcia指出，这项指南主要针对那些资源有限、难以跟上步伐的医疗提供组织，确保他们了解并利用合适的合同语言来保护企业。

传统的采购流程旨在最小化成本，使实体能够购买尽可能多的设备，而制造商则可以低成本生产以获取最大利润。MedCrypt首席安全战略家AxlWirth解释道：“从安全的角度来看，这是一个非常愚蠢的做法。早期在设备设计上投资安全，可以在后期为设备运营方节省大量资金。”

Wirth继续说道：“如果你只关注购买价格，那你就有问题，因为你试图将价格压至最低，结果就会最大化后市场的安全成本。作为一个行业，我们需要转变态度，认识到在网络安全上尽早花费的每一分钱，最终都能节省大量成本。”

这些见解强调了对话的重要性，确保“设备制造商和医疗机构共同推动同一目标”，Wirth说道。

值得注意的是，围绕关键需求的具体讨论很大程度上是由制造商主导的，这显示了他们的认同感和指导需求。梅奥诊所的安全韧性经理MichelleBentley表示，在购买时讨论网络安全是最为合适的，尤其是在审查合同时，不论是单独审查还是作为主服务或业务合作协议的一部分。

然而，Bentley解释道，“每份合同的谈判都耗时较长，这取决于设备的构造、用途以及医疗服务机构的使用意图。”她引用道：“既然我们已有FDA指引，且有HL7和NIST，为什么这些组织仍需单独经历相同的过程？”进一步说，过程的重复性令人困惑。

HSCC利用以往经验，与行业工作组、健康信息共享和分析中心（Health-
ISAC）及其他医疗同行合作，寻找合同语言中的共同点，以制定一份可供所有实体作为起点的文件，以确保医疗设备的安全。

Garcia表示：“有一个神话是大家都会安全。”这个神话认为，某个实体可以依赖安全的网络来使用不安全的医疗设备。建立这些模板可以有效消除这些误解，支持那些最需要帮助的组织。

Wirth补充道，这样做标准化了一套核心的网络安全要求，包括技术和程序上的标准，简化了设备制造商或分销商与医疗购买机构的关系，使其更为便利。

“每种情况都是独特的，每种风险都是独特的。但再次强调，确立一项核心标准是极其有价值的，”Wirth说。

该指导应被视为草案，是一份活文档，可以随时适应不断变化的标准和服务，同时应对迅速发展的医疗基础设施。他补充说，随着医疗系统的日益互联，逐渐远离传统医院设置，未来该指南还需要针对这些变化进行调整。