DB33T 1371-2024 基于云计算的医院信息系统安全规范.docx

ICS35.020

33CCSL70

33

浙 江 省 地 方 标 准

DB33/T1371—2024

基于云计算的医院信息系统安全规范

Securityspecificationforhospitalinformationsystembasedoncloudcomputing

2024-03-23发布 2024-04-23实施

浙江省市场监督管理局 发布

DB33/T1371—2024

DB33/T1371—2024

I

I

前 言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准由浙江省卫生健康委员会提出、归口并组织实施。

本标准起草单位：浙江省卫生健康信息中心、阿里巴巴（中国）有限公司、浙江大学医学院附属第一医院、来未来科技（浙江）有限公司、煕牛医疗科技（浙江）有限公司、国家计算机网络应急技术处理协调中心。

本标准主要起草人：白晓媛、郭一、朱红儒、周敏、沈杰、墙辉、朱顺炎、叶林、金震、于小博、王文磊。

DB33/T1371—2024

DB33/T1371—2024

DB33/T1371—2024API：应用程序编程接口（applicationprogramminginterface）APP：应用程序（application）

DB33/T1371—2024

API：应用程序编程接口（applicationprogramminginterface）APP：应用程序（application）

CPU：中央处理器（centralprocessingunit）HIS：医院信息系统（hospitalinformationsystem）

HTTPS：超文本传输安全协议（hypertexttransferprotocoloversecuresocketlayer）IP：互联网协议（internetprotocol）

SQL：结构化查询语言（structuredquerylanguage）

PAGE

PAGE1

PAGE2

PAGE2

基于云计算的医院信息系统安全规范

范围

本标准规定了基于云计算的医院信息系统的系统接入安全、系统应用安全、云计算安全、外联接口安全和数据安全等。

本标准适用于基于云计算的医院信息系统的安全建设，也适用于对基于云计算的医院信息系统安全架构进行评估。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T35273—2020信息安全技术个人信息安全规范

GB/T39725—2020信息安全技术健康医疗数据安全指南

术语和定义

下列术语和定义适用于本标准。

3.1

医院信息系统 hospitalinformationsystem

医院医疗管理相关活动中进行信息管理和联机操作的计算机应用系统。

3.2

云计算 cloudcomputing

通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

3.3

容器 container

提供资源隔离、资源控制和程序可移植运行的环境。

3.4

微服务 microservice

将应用程序构建为松散耦合服务集合的小型可组合逻辑单元。

缩略语

下列缩略语适用于本标准。

总体架构

基于云计算的HIS架构参见附录A，主要包括系统接入、系统应用、云计算平台、外联接口和系统运营审计，其中系统运营审计功能参见附录B。

系统接入安全

APP、网页、小程序等系统接入客户端应按照如下方式确保接入安全：

与服务器端进行通信时：

采用HTTPS等安全通信协议；

不应故意留有或设置后门。

采用技术措施，防范攻击者对客户端进行调试、分析和篡改。

认证模块：

应采用防暴力破解机制，如在多次连续尝试登录失败后锁定账号、IP地址等；

应进行签名，识别客户端的来源；

使用密码登录时，不应使用空口令或弱口令，口令输入框不支持拷贝粘贴功能等。

上传服务器时：

应对上传的文件大小和类型进行限定；

不应包含危害国家安全、个人隐私等内容的各类违法信息。

系统应用安全

基本要求

系统应用安全应符合GB/T22239—2019中8.1的安全要求。

身份鉴别

应对本地与远程会诊等