- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
ICS35.020
33CCSL70
33
浙 江 省 地 方 标 准
DB33/T1371—2024
基于云计算的医院信息系统安全规范
Securityspecificationforhospitalinformationsystembasedoncloudcomputing
2024-03-23发布 2024-04-23实施
浙江省市场监督管理局 发布
DB33/T1371—2024
DB33/T1371—2024
I
I
前 言
本标准按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准由浙江省卫生健康委员会提出、归口并组织实施。
本标准起草单位:浙江省卫生健康信息中心、阿里巴巴(中国)有限公司、浙江大学医学院附属第一医院、来未来科技(浙江)有限公司、煕牛医疗科技(浙江)有限公司、国家计算机网络应急技术处理协调中心。
本标准主要起草人:白晓媛、郭一、朱红儒、周敏、沈杰、墙辉、朱顺炎、叶林、金震、于小博、王文磊。
DB33/T1371—2024
DB33/T1371—2024
DB33/T1371—2024API:应用程序编程接口(applicationprogramminginterface)APP:应用程序(application)
DB33/T1371—2024
API:应用程序编程接口(applicationprogramminginterface)APP:应用程序(application)
CPU:中央处理器(centralprocessingunit)HIS:医院信息系统(hospitalinformationsystem)
HTTPS:超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer)IP:互联网协议(internetprotocol)
SQL:结构化查询语言(structuredquerylanguage)
PAGE
PAGE1
PAGE2
PAGE2
基于云计算的医院信息系统安全规范
范围
本标准规定了基于云计算的医院信息系统的系统接入安全、系统应用安全、云计算安全、外联接口安全和数据安全等。
本标准适用于基于云计算的医院信息系统的安全建设,也适用于对基于云计算的医院信息系统安全架构进行评估。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T35273—2020信息安全技术个人信息安全规范
GB/T39725—2020信息安全技术健康医疗数据安全指南
术语和定义
下列术语和定义适用于本标准。
3.1
医院信息系统 hospitalinformationsystem
医院医疗管理相关活动中进行信息管理和联机操作的计算机应用系统。
3.2
云计算 cloudcomputing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。
3.3
容器 container
提供资源隔离、资源控制和程序可移植运行的环境。
3.4
微服务 microservice
将应用程序构建为松散耦合服务集合的小型可组合逻辑单元。
缩略语
下列缩略语适用于本标准。
总体架构
基于云计算的HIS架构参见附录A,主要包括系统接入、系统应用、云计算平台、外联接口和系统运营审计,其中系统运营审计功能参见附录B。
系统接入安全
APP、网页、小程序等系统接入客户端应按照如下方式确保接入安全:
与服务器端进行通信时:
采用HTTPS等安全通信协议;
不应故意留有或设置后门。
采用技术措施,防范攻击者对客户端进行调试、分析和篡改。
认证模块:
应采用防暴力破解机制,如在多次连续尝试登录失败后锁定账号、IP地址等;
应进行签名,识别客户端的来源;
使用密码登录时,不应使用空口令或弱口令,口令输入框不支持拷贝粘贴功能等。
上传服务器时:
应对上传的文件大小和类型进行限定;
不应包含危害国家安全、个人隐私等内容的各类违法信息。
系统应用安全
基本要求
系统应用安全应符合GB/T22239—2019中8.1的安全要求。
身份鉴别
应对本地与远程会诊等
您可能关注的文档
- DB33T 1367-2024 香椿菜用栽培技术规程.docx
- DB33T 1375-2024 龙泉宝剑传统制作技术规范.docx
- DB33T 2543.4-2024 智慧矫正 第4部分:区块链存证应用.docx
- 医药行业职业规划咨询方案.pptx
- 创业管理实践实训实验报告.pptx
- 咖啡厅活动宣传方案策划书.pptx
- 中国国家标准 GB/T 14598.302-2016E弧光保护装置技术要求.pdf
- GB/T 14598.302-2016E弧光保护装置技术要求.pdf
- 《GB/T 14598.302-2016E弧光保护装置技术要求》.pdf
- 2024年03月新疆财经大学2024年引进高层次人才(团队)笔试参考题库附带答案详解.docx
文档评论(0)