DB3205-T 1127-2024 聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理規(guī)范

CCSL80蘇DB32052024-08-09發(fā)布蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1127—2024前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5管理要求 5.1組織管理 5.2制度管理 5.3人員管理 5.4風險管理 5.5應急管理 5.6培訓管理 6控制要求 6.1設備采購 6.2安裝調試 6.3運行使用 6.4維護維修 6.5報廢處置 附錄A（規(guī)范性）聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全技術防護要求 5附錄B（資料性）聯(lián)網(wǎng)醫(yī)療設備分類分級判定表 7參考文獻 DB3205/T1127—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由蘇州市衛(wèi)生健康委員會提出并歸口。本文件起草單位：蘇州市衛(wèi)生計生統(tǒng)計信息中心、蘇州市衛(wèi)生健康委員會、蘇州市公安局、蘇州市質量和標準化院、東軟集團股份有限公司、工業(yè)和信息化部電子第五研究所華東分所、蘇州大學附屬第二醫(yī)院、中國聯(lián)合網(wǎng)絡通信有限公司蘇州市分公司、昆山市衛(wèi)生計生信息中心、常熟市衛(wèi)生信息中心、蘇州市吳江區(qū)衛(wèi)生計生統(tǒng)計信息中心、蘇州市吳中區(qū)衛(wèi)生健康發(fā)展中心、蘇州市姑蘇區(qū)民政和衛(wèi)生健康局、蘇州工業(yè)園區(qū)衛(wèi)生健康委員會、蘇州大學附屬第一醫(yī)院、蘇州大學附屬兒童醫(yī)院、蘇州市立醫(yī)院、蘇州市第五人民醫(yī)院、蘇州市第九人民醫(yī)院、蘇州市疾病預防控制中心、蘇州市獨墅湖醫(yī)院。本文件主要起草人：鞠鑫、陸治平、湯崢、朱杰、金建芳、徐愛彬、張俊杰、劉旭哲、周文淵、王寶燕、周號云、趙亞、姚永剛、顧嘉奇、湯景云、沈婷、貝乾、金健、仲曉偉、李斌、顏慶、顧紀君、徐先泉、朱建光、王瀾、張華榮、程思民、劉亞軍、汪春亮、朱晨、諸俊、閔寒、費雪剛、柳維生、唐廣場、黃利軍、沈穎杰、丁翀、方衛(wèi)青、高喆、王華鐸、許靜、葉棟、錢瑾、葛長龍、馬昌帥、黃堯。DB3205/T1127—2024隨著我國醫(yī)療數(shù)字化不斷發(fā)展，融合物聯(lián)網(wǎng)、AI、5G等新一代信息技術的聯(lián)網(wǎng)醫(yī)療設備已經(jīng)深入到患者醫(yī)療服務的各個領域。CT、磁共振、手術機器人等高端醫(yī)療設備大多依賴進口，由于缺乏完善的網(wǎng)絡安全管理措施，設備廠商在進行遠程運維時頻繁出現(xiàn)數(shù)據(jù)泄露事件。因此，如何強化聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡安全管理，成為蘇州市衛(wèi)生健康行業(yè)面臨的難題。從全行業(yè)的角度看，我國現(xiàn)有《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）等文件；從衛(wèi)生健康行業(yè)看，現(xiàn)有《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》等文件，以上文件對網(wǎng)絡安全已經(jīng)提出了綱領性的要求，但缺乏針對聯(lián)網(wǎng)醫(yī)療設備具體的網(wǎng)絡安全管理要求，醫(yī)療衛(wèi)生機構在落實聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理時缺少規(guī)范性文件的指導。本文件提出了較為細化的聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理規(guī)范，填補聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理的空白。起草組對蘇州市有代表性的10余家聯(lián)網(wǎng)醫(yī)療設備規(guī)模較大的醫(yī)療衛(wèi)生機構開展調研，搜集聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理中存在的難點和痛點問題，針對普遍困擾管理者的問題，起草組經(jīng)過謹慎、細致的討論提出了解決方案。標準稿件經(jīng)過行業(yè)主管部門、監(jiān)管部門、科研單位、設備廠家、檢測評估機構以及行業(yè)專家多次研討與論證，具備較強的可操作性。通過體系化開展聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理，解決聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全問題，提升醫(yī)療衛(wèi)生機構的聯(lián)網(wǎng)醫(yī)療設備安全管理和防護水平。1DB3205/T1127—2024聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理規(guī)范本文件規(guī)定了聯(lián)網(wǎng)醫(yī)療設備的管理要求和控制要求。本文件適用于蘇州市各級醫(yī)療衛(wèi)生機構加強對聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡安全管理，也可供衛(wèi)生健康主管部門、網(wǎng)絡安全監(jiān)管部門以及第三方評估機構開展聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全監(jiān)督檢查等工作時參考。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20278信息安全技術網(wǎng)絡脆弱性掃描產(chǎn)品安全技術要求與測試評價方法GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25069信息安全技術術語3術語和定義GB/T20278、GB/T25069中界定的以及下列術語和定義適用于本文件。3.1聯(lián)網(wǎng)醫(yī)療設備connectedmedicaldevices具有網(wǎng)絡連接功能并接入到醫(yī)療衛(wèi)生機構內部網(wǎng)絡進行數(shù)據(jù)通信的用于預防、診斷、治療、緩解疾病或者其他醫(yī)療過程中的設備、器械、儀器和其他相關物品，包括但不限于：血透機、呼吸機、心電圖機、B超機、放射類設備、檢驗類設備、血壓監(jiān)測儀、血糖測量儀、睡眠監(jiān)測儀、胃腸鏡機等。3.2醫(yī)療器械網(wǎng)絡安全注冊申報資料medicaldevicenetworksecurityregistrationapplicationmaterials具備電子數(shù)據(jù)交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫(yī)療器械注冊申請人在產(chǎn)品注冊時根據(jù)醫(yī)療器械產(chǎn)品特性提交的網(wǎng)絡安全描述文檔和常規(guī)安全補丁描述文檔。注：第二類醫(yī)療器械是指具有中度風險，需要嚴格控制管理以保證其安全一次性醫(yī)用防護服；第三類醫(yī)療器械是指具有較高風險、需要采取特別措施嚴格控制3.3安全漏洞securityvulnerability系統(tǒng)在硬件、軟件、通信協(xié)議的設計與實現(xiàn)過程中或在系統(tǒng)安全策略上存在的缺陷和不足。4縮略語2DB3205/T1127—2024下列縮略語適用于本文件。ICU：重癥加強護理病房（IntensiveCareUnit）DICOM：醫(yī)學數(shù)字影像和通信（DigitalImagingandCommunicationsinMedicine）HL7：衛(wèi)生信息交換標準（HealthLevel7）MQTT：消息隊列遙測傳輸（MessageQueuingTelemetryTransport）5管理要求5.1組織管理組織管理的要求包括：a）應設立由醫(yī)療衛(wèi)生機構主管領導、網(wǎng)絡安全管理分管領導、醫(yī)療設備管理分管領導、網(wǎng)絡安全管理部門、醫(yī)療業(yè)務管理部門、醫(yī)療設備管理部門、醫(yī)療設備臨床使用部門和后勤保障部門共同組成的聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理組織，負責聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡安全管理工作；b）應明確聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理組織的職責、分工和人員技能要求。5.2制度管理制度管理的要求包括：a）應制定聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全工作的總體方針和安全策略，通過技術措施和管理措施實現(xiàn)聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡安全管理；b）應在執(zhí)行GB/T22239第三級安全要求的基礎上，按照本文件附錄A的要求建立健全聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全防護體系；c）應建立健全聯(lián)網(wǎng)醫(yī)療設備的設備采購、安裝調試、運行使用、維護維修、報廢處置等相關網(wǎng)絡安全管理制度；d）應采取分類分級（參考附錄B）的方式對聯(lián)網(wǎng)醫(yī)療設備進行網(wǎng)絡安全管理。5.3人員管理人員管理的要求包括：a）應根據(jù)醫(yī)療衛(wèi)生機構內、外部人員的崗位職責和工作需要簽訂保密協(xié)議，協(xié)議明確保密的對象、范圍、內容和期限等；b）外部人員物理訪問聯(lián)網(wǎng)醫(yī)療設備前應提出書面申請，批準后由專人全程陪同，陪同人員必須包括設備管理員或網(wǎng)絡安全員，陪同人員不得低于1人，同時記錄操作日志，并登記備案；c）外部人員使用網(wǎng)絡訪問聯(lián)網(wǎng)醫(yī)療設備前應提出書面申請，批準后由專人開設賬號、分配權限、設置訪問起止時間，并登記備案；d）應及時終止離崗離職人員對聯(lián)網(wǎng)醫(yī)療設備的使用權限。5.4風險管理風險管理的要求包括：a）新購置或新引入的聯(lián)網(wǎng)醫(yī)療設備應由網(wǎng)絡安全管理部門會同醫(yī)療設備管理部門根據(jù)設備的分類分級情況對其進行網(wǎng)絡安全風險評估，并按照規(guī)定程序將評估報告和整改要求向相關部門和人員進行反饋和通報；b）醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理部門應定期檢查或評估聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡安全風險狀況，并按照規(guī)定程序將分析結果和整改要求向相關部門和人員進行反饋和通報；DB3205/T1127—2024c）醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理部門應安排專人定期收集國家及安全管理部門發(fā)布的聯(lián)網(wǎng)醫(yī)療設備風險指導意見，對自有聯(lián)網(wǎng)醫(yī)療設備進行針對性排查，并將排查結果及時向相關部門和人員進行反饋和通報。5.5應急管理應急管理的要求包括：a）應建立并落實聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全常態(tài)化監(jiān)測預警、快速響應機制；b）應對聯(lián)網(wǎng)醫(yī)療設備發(fā)生的網(wǎng)絡安全事件（如違規(guī)外聯(lián)、數(shù)據(jù)泄露等）進行識別和評估，制定專項網(wǎng)絡安全應急預案，并定期開展演練；c）應及時將可能危害關鍵業(yè)務的聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全事件通報到相關部門和人員；d）應在聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全事件發(fā)生后及時收集證據(jù)，形成完整的事件處理報告，并采取措施防止聯(lián)網(wǎng)醫(yī)療設備遭受再次破壞、危害或故障。5.6培訓管理培訓管理的要求包括：a）應制定聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全培訓計劃，并定期更新；b）應對聯(lián)網(wǎng)醫(yī)療設備操作管理人員和使用人員開展網(wǎng)絡和數(shù)據(jù)安全意識及防范培訓，并保留相關記錄；c）應根據(jù)不同聯(lián)網(wǎng)醫(yī)療設備日常操作過程中可能產(chǎn)生的網(wǎng)絡安全風險制定專項培訓計劃。6控制要求6.1設備采購設備采購的要求包括：a）應要求聯(lián)網(wǎng)醫(yī)療設備供應商提供網(wǎng)絡安全能力證明材料，包括醫(yī)療器械網(wǎng)絡安全注冊申報資料b）應審核聯(lián)網(wǎng)醫(yī)療設備供應商的安全保障能力和技術水平，在采購文件中要求供應商提供安全保障能力和技術水平的評估報告；c）應在采購合同中明確規(guī)定聯(lián)網(wǎng)醫(yī)療設備供應商網(wǎng)絡安全職責，對聯(lián)網(wǎng)醫(yī)療設備的維護、醫(yī)療設備數(shù)據(jù)的外發(fā)等進行承諾說明；d）應與聯(lián)網(wǎng)醫(yī)療設備供應商簽訂設備的安全更新和維護協(xié)議，明確保障時間和服務內容。6.2安裝調試安裝調試的要求包括：a）應根據(jù)聯(lián)網(wǎng)醫(yī)療設備的分類分級情況建立操作規(guī)程，明確網(wǎng)絡連接方法、異常連接處理方式等b）應嚴格限制聯(lián)網(wǎng)醫(yī)療設備自帶流量卡的安裝，確需安裝的需向主管部門備案；c）應對入網(wǎng)前的聯(lián)網(wǎng)醫(yī)療設備開展網(wǎng)絡脆弱性掃描，識別設備可能存在的安全漏洞，并協(xié)調設備供應商開展漏洞修復，對于無法修復的漏洞，可采取外部網(wǎng)絡安全防護措施進行補充；d）應根據(jù)聯(lián)網(wǎng)醫(yī)療設備供應商提供的網(wǎng)絡安全能力證明材料，如醫(yī)療器械網(wǎng)絡安全注冊申報資料等，對缺失的網(wǎng)絡安全能力采取外部措施補充。6.3運行使用4DB3205/T1127—2024運行使用的要求包括：a）應編制并維護聯(lián)網(wǎng)醫(yī)療設備資產(chǎn)清單，包括設備類型、設備等級、廠商、IP/MAC地址、設備唯一標識碼等；b）應建立聯(lián)網(wǎng)醫(yī)療設備資產(chǎn)安全管理制度，明確設備管理的責任部門和人員，對設備的運行使用進行規(guī)范化管理，確保設備在出現(xiàn)網(wǎng)絡安全異常時能夠及時進行跟蹤和處置；c）應對操作聯(lián)網(wǎng)醫(yī)療設備的人員，僅開放必需的、供其日常運行和維護所需的操作指令，確保不因權限過大導致聯(lián)網(wǎng)醫(yī)療設備操作異常；d）應采取必要的措施識別聯(lián)網(wǎng)醫(yī)療設備安全漏洞和隱患，評估其影響后及時修補；e）應建立健全聯(lián)網(wǎng)醫(yī)療設備數(shù)據(jù)導出審批機制，嚴格控制數(shù)據(jù)導出流程，指派專人負責管理聯(lián)網(wǎng)醫(yī)療設備數(shù)據(jù)的導出工作；f）應定期對聯(lián)網(wǎng)醫(yī)療設備自帶流量卡的使用情況進行檢查；g）應對聯(lián)網(wǎng)醫(yī)療設備電子數(shù)據(jù)交換接口的使用實行操作審批制。6.4維護維修維護維修的要求包括：a）應對聯(lián)網(wǎng)醫(yī)療設備本地運維所使用的工具進行登記備案；b）應限制聯(lián)網(wǎng)醫(yī)療設備遠程運維的人員、時間和所使用的工具；c）應與聯(lián)網(wǎng)醫(yī)療設備的外包運維服務商簽訂服務協(xié)議，明確所有相關的安全要求，如可能涉及對敏感信息的訪問、處理、存儲要求等。d）應在外部維修前對設備內當前業(yè)務數(shù)據(jù)妥善處理，維修結束后重新接入網(wǎng)絡時應對設備開展網(wǎng)絡安全檢查；e）應完整記錄聯(lián)網(wǎng)醫(yī)療設備的維護維修信息，包括維護維修內容、維護維修原因、維護維修時間、維護維修操作人員等。6.5報廢處置報廢處置的要求包括：a）聯(lián)網(wǎng)醫(yī)療設備的報廢處置應經(jīng)過聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全管理組織的審批；b）應對報廢處置的聯(lián)網(wǎng)醫(yī)療設備進行登記，包括報廢時間、處置方式、數(shù)據(jù)刪除情況等；c）應及時斷開報廢處置聯(lián)網(wǎng)醫(yī)療設備的網(wǎng)絡連接，對其內部存儲的業(yè)務數(shù)據(jù)妥善處理后刪除，確保數(shù)據(jù)不能恢復；d）應將待報廢處置的聯(lián)網(wǎng)醫(yī)療設備交由保密局指定具有相關資質的處置單位統(tǒng)一處置或銷毀。5DB3205/T1127—2024（規(guī)范性）聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全技術防護要求A.1安全物理環(huán)境安全物理環(huán)境的要求包括：a）重要聯(lián)網(wǎng)醫(yī)療設備應部署在安全的物理環(huán)境，充分考慮防雷、防火、防水、防靜電、防震、防盜、電力供應、電磁防護等要求，應在設備存放處部署視頻監(jiān)控和警報系統(tǒng)；b）應將有線方式連接的聯(lián)網(wǎng)醫(yī)療設備通信線纜鋪設在隱蔽安全處；c）應合理規(guī)劃重點區(qū)域（如ICU、手術室等）聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡線路的鋪設；d）涉及患者診斷、治療、監(jiān)護和護理的聯(lián)網(wǎng)醫(yī)療設備應具有可供長時間穩(wěn)定工作的電力供應。A.2安全通信網(wǎng)絡安全通信網(wǎng)絡的要求包括：a）應為聯(lián)網(wǎng)醫(yī)療設備劃分獨立的網(wǎng)絡區(qū)域，并按照方便管理的原則為聯(lián)網(wǎng)醫(yī)療設備分配固定地址；b）應為移動式聯(lián)網(wǎng)醫(yī)療設備提供安全的無線網(wǎng)絡；c）應采用校驗或密碼技術保證聯(lián)網(wǎng)醫(yī)療設備通信過程中數(shù)據(jù)的完整性；d）應采用密碼技術保證聯(lián)網(wǎng)醫(yī)療設備通信過程中數(shù)據(jù)的保密性。A.3安全區(qū)域邊界安全區(qū)域邊界的要求包括：a）應對非授權聯(lián)網(wǎng)醫(yī)療設備私自聯(lián)到內部網(wǎng)絡、內部聯(lián)網(wǎng)醫(yī)療設備非授權聯(lián)到外部網(wǎng)絡的行為進行監(jiān)測和限制；b）應基于聯(lián)網(wǎng)醫(yī)療設備所使用的通信協(xié)議建立細粒度的訪問控制策略；c）應識別和檢測聯(lián)網(wǎng)醫(yī)療設備利用醫(yī)療專屬協(xié)議（如DICOM、HL7）、醫(yī)療物聯(lián)網(wǎng)協(xié)議（如MQTT）等發(fā)起的網(wǎng)絡攻擊行為；d）應對聯(lián)網(wǎng)醫(yī)療設備遠程訪問行為、數(shù)據(jù)修改、獲取等重要安全事件進行審計和分析；定期匯總相關數(shù)據(jù)報至信息安全等有關部門；e）應完整收集聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡通信過程中的網(wǎng)絡流量，確保在發(fā)生網(wǎng)絡安全事件時能夠回溯和分析。A.4安全計算環(huán)境安全計算環(huán)境的要求包括：a）應確保聯(lián)網(wǎng)醫(yī)療設備在接入網(wǎng)絡時具備唯一標識，實現(xiàn)聯(lián)網(wǎng)醫(yī)療設備的準入控制；b）應嚴格限制聯(lián)網(wǎng)醫(yī)療設備訪問權限，動態(tài)監(jiān)測設備的端口、服務和協(xié)議，為不同用戶配置不同的訪問控制策略；c）應及時對聯(lián)網(wǎng)醫(yī)療設備的系統(tǒng)及固件進行升級，修復其網(wǎng)絡安全缺陷；d）聯(lián)網(wǎng)醫(yī)療設備應支持對登錄的用戶進行身份標識和鑒別，具有登錄失敗處理功能；e）應限制聯(lián)網(wǎng)醫(yī)療設備所采集患者個人信息存儲的數(shù)量和時長。A.5安全管理中心6DB3205/T1127—2024安全管理中心的要求包括：a）應對聯(lián)網(wǎng)醫(yī)療設備自身的遠程接入端口進行管控，建立統(tǒng)一的設備運維管理平臺，實現(xiàn)認證、授權、賬號、審計的集中管控；b）應建立區(qū)別于傳統(tǒng)網(wǎng)絡安全的聯(lián)網(wǎng)醫(yī)療設備網(wǎng)絡安全監(jiān)控平臺，根據(jù)設備的分類分級情況對其產(chǎn)生的網(wǎng)絡安全事件進行集中收集和管理，實現(xiàn)網(wǎng)絡異常行為的精準分析和異常行為發(fā)生源的快速定位，并納入主管部門的聯(lián)網(wǎng)醫(yī)療設備安全監(jiān)測體系；c）應對分散在各個聯(lián)網(wǎng)醫(yī)