YDT 4903-2024互联网医疗健康移动应用安全技术要求.pdf

ICS35.030

CCSL70

YD

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

互联网医疗健康移动应用安全技术要求

Internetmedicalhealthtechnicalrequirementsformobileterminalapplication

security

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

XX/TXXXXX—XXXX

互联网医疗健康移动应用安全技术要求

1范围

本文件规定了互联网医疗健康移动应用安全技术要求，主要包含升级安全、应用软件自身、鉴别机

制、访问控制、逻辑安全、密码算法及密钥要求、数据安全及运行安全要求。

本文件适用于互联网医疗健康移动应用的开发、运营过程。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T37092-2018信息安全技术密码模块安全要求

GB/T41479-2022信息安全技术网络数据处理安全要求

JR/T0092-2019移动金融客户端应用软件安全管理规范

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

密码模块cryptographicmodule

实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。

注：密码根据其组成，可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块。

4缩略语

下列缩略语适用于本文件。

APP移动终端应用（mobileAPPlication）

CNNVD国家信息安全漏洞库（ChinaNationalVulnerabilityDatabaseofInformationSecurity）

CNVD国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase）

5概述

医疗健康APP的安全技术要求由产品形态、功能类型决定。产品形态决定了其在安全性、可靠性等

方面的基本要求，包括升级安全、自身安全、鉴别机制、逻辑安全、密码算法和密钥、数据安全、运行

2

XX/TXXXXX—XXXX

安全。产品形态主要分为传统应用、轻应用两种，传统应用是指能直接运行于Android和IOS、鸿蒙操作

系统的应用程序，轻应用指的是H5应用、小程序、快应用。

医疗健康APP的功能类型决定了其在安全性、可靠性等方面的特殊要求，例如：具备电商类功能的

APP需要保护用户的支付交易安全，具备健康管理功能的APP需要保护用户健康相关的个人隐私安全等。

常见的医疗健康APP可以分为：在线寻医问诊类、预约挂号/导诊类、医药电商服务类、健康管理类型和

垂直小众类。

6安全技术要求

6.1概述

本文件依据医疗健康APP的产品形态、功能类型对其进行分类，并提出不同的安全技术要求，见表1。

表1医疗健康APP安全技术要求表

在线寻医问诊预约挂号/导诊