医疗物联网设备安全管控基本要求（编制说明）.pdf

一、项目背景

医疗物联网发展将医院的人与物关联起来，实现各医疗机构的医

疗信息共享，降低患者就医成本，使医疗资源获得有效利用，有利于

缓解医疗资源紧缺的压力。但医疗物联网设备也带来了关键风险，包

括全球运维带来的数据泄露风险、互联互通带来的安全风险黑盒化、

物联网设备被仿冒接入内网、物联网资产的台账管理、医疗机构工作

人员信息安全意识薄弱等。但传统的安全建设针对物联网整个使用环

节的安全防御是割裂的，无法形成协同效应。

2020年发布的《医疗健康物联网白皮书》提出：我国大多数医

疗机构仍未意识到新时代下物联网安全问题的复杂性，仍然仅仅只是

以通过安全等级考核为目的，并没有主动应对安全威胁的意识。2018

年以来医疗设备的网络安全漏洞增加了525%，医院等医疗机构必须

快速采取果断的行动，以保护数据隐私，确保联网医疗设备的安全，

维护患者的利益。但是国内安全企业对物联网安全的研究也缺乏针对

医疗健康物联网终端安全产品以及医疗健康物联网安全顶层设计与

统筹管理。

该团体标准的制定，对医疗物联网设备建设可能面临的安全风险

进行了分析，构建了医疗物联网安全防护策略框架，并提出了医疗物

1

联网安全建设方向和建议，为医疗物联网安全建设规划提供参考，具

有十分重要的意义。

二、工作简况

（一）任务来源

本标准由浙江省卫生信息学会提出并归口，正式列入浙江省卫生信息

学会团体标准修制订计划。主要起草单位有浙江大学医学院附属第四

医院、浙江省卫生健康信息中心、浙江省电子信息产品检验研究院、

深信服科技股份有限公司、浙江医院等。

（二）协作单位

（三）主要工作过程

2021年5月，浙江省卫生信息学会召开“医疗物联网安全管控

体系框架研究”启动会，医疗物联网设备安全管控标准研制工作同步

启动。

2021年10月，举行《医疗物联网安全建设基本要求》团体标准

立项论证会，经专家组讨论一致同意该团体标准立项。

2020年10月，经过多轮讨论修改，确立《医疗物联网设备安全

管控基本要求》标准框架。

2020年10月-11月,多次召开研讨会，广泛征求企事业单位和业

内专家意见，根据意见进行标准本文修改完善。

2021年11月，网络、会议等多种形式征求意见。

2021年12月，标准起草组根据专家、主管部门和使用单位意见

2

对标准文本进行修改完善，形成征求意见稿。

三、标准编制原则和确定地方标准主要内容的依据

(一）编制原则

1、立足医疗物联网设备安全管控建设需求，保证标准的适用性

基于医疗物联网设备安全管控的需求，结合医疗行业特性，包括

医疗机构业务智慧化转型、IoMT设备产品技术发展路径、普遍存在

的设备安全隐患问题、未来医疗物联网设备建设需求等，进行建设要

求行业化提炼总结和场景化补充说明，保障标准的适用性。

2、通过示例、表格说明等形式，保证标准的可操作性

为了保证标准的宣贯和实施，标准编写工作组在标准的编写过程

中注重标准的可操作性，除在标准正文中尽量以明确、规范、清晰、

简短的语言进行表述外，还给出了示例和相应的表格，以帮助读者更

好地理解和使用标准。

3、标准内容力求做到内容全面、条理清晰、层次分明、重点突

出。

4、广泛吸收和听取相关专家、主管部门和使用单位意见。

（二）确定地方标准主要内容的依据

依据GB/T25058-2019信息系统安全等级保护基本原则和方法，

为医疗物联网设备安全管控提供整体建设框架，结合GB/T

36951-2018物联网感知终端应用安全技术要求、GB/T37024-2018物

联网感知层网关安全技术要求、GB/T37025-2018物联网数据传输安

全技术要求、GB/T37044-2018物联网安全参考模型及通用要求、GB/T

3

37093-2018物联网感知层接入通信网的安全要求等相关物联网安全

建设要求，满足医疗行业物联网设备安全管控需求。引用GB/T

20984-2007信息安全风险评估规范、GB/T31509-2015