联网医疗设备网络安全管理规范.pdfVIP

联网医疗设备网络安全管理规范

1范围

本文件规定了联网医疗设备的管理要求和控制要求。

本文件适用于苏州市各级医疗卫生机构加强对联网医疗设备的网络安全管理，也可供卫生健康主管

部门、网络安全监管部门以及第三方评估机构开展联网医疗设备网络安全监督检查等工作时参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20278信息安全技术网络脆弱性扫描产品安全技术要求与测试评价方法

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

3术语和定义

GB/T20278、GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1

联网医疗设备connectedmedicaldevices

具有网络连接功能并接入到医疗卫生机构内部网络进行数据通信的用于预防、诊断、治疗、缓解疾

病或者其他医疗过程中的设备、器械、仪器和其他相关物品，包括但不限于：血透机、呼吸机、心电图

机、B超机、放射类设备、检验类设备、血压监测仪、血糖测量仪、睡眠监测仪、胃肠镜机等。

3.2

医疗器械网络安全注册申报资料medicaldevicenetworksecurityregistrationapplication

materials

具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软

件和含有软件组件的医疗器械注册申请人在产品注册时根据医疗器械产品特性提交的网络安全描述文

档和常规安全补丁描述文档。

1

注：第二类医疗器械是指具有中度风险，需要严格控制管理以保证其安全、有效的医疗器械，比如医用外科口罩、

一次性医用防护服；第三类医疗器械是指具有较高风险、需要采取特别措施严格控制管理，以保证其安全有效的医疗器

械，比如隐形眼镜、一次性使用无菌注射器等。

3.3

安全漏洞securityvulnerability

系统在硬件、软件、通信协议的设计与实现过程中或在系统安全策略上存在的缺陷和不足。

4缩略语

下列缩略语适用于本文件。

ICU：重症加强护理病房（IntensiveCareUnit）

DICOM：医学数字影像和通信（DigitalImagingandCommunicationsinMedicine）

HL7：卫生信息交换标准（HealthLevel7）

MQTT：消息队列遥测传输（MessageQueuingTelemetryTransport）

5管理要求

5.1组织管理

组织管理的要求包括：

a）应设立由医疗卫生机构主管领导、网络安全管理分管领导、医疗设备管理分管领导、网络安全

管理部门、医疗业务管理部门、医疗设备管理部门、医疗设备临床使用部门和后勤保障部门共

同组成的联网医疗设备网络安全管理组织，负责联网医疗设备的网络安全管理工作；

b）应明确联网医疗设备网络安全管理组织的职责、分工和人员技能要求。

5.2制度管理

制度管理的要求包括：

a）应制定联网医疗设备网络安全工作的总体方针和安全策略，通过技术措施和管理措施实现联网

医疗设备的网络安全管理；

b）应在执行GB/T22239第三级安全要求的基础上，按照本文件附录A的要求建立健全联网医疗设

备网络安全防护体系；

2

c）应建立健全联网医疗设备的设备采购、安装调试、运行使用、维护维修、报废处置等相关网络

安全管理制度；

d）应采取分类分级（参考附录B）的方式对联网医疗设备进行网络安全管理。

5.3人员管理

人员管理的要求包括：

a）应根据医疗卫生机构内、外部人员的岗位职责和工作需要签订保密协议，协议明确保密的对象、

范围、内容和期限等；

b）外部人员物理访问联网医疗设备前应提出书面申请，批准后由专人全程陪同，陪同人员必须包

括