DB3205_T 1127-2024 联网医疗设备网络安全管理规范.docxVIP

ICS35.040CCSL80

苏

DB3205

州市地方标准

DB3205/T1127—2024

联网医疗设备网络安全管理规范

Specificationsforcybersecuritymanagementofconnectedmedical

devices

2024-08-09发布2024-08-16实施

苏州市市场监督管理局发布

I

DB3205/T1127—2024

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5管理要求 2

5.1组织管理 2

5.2制度管理 2

5.3人员管理 2

5.4风险管理 2

5.5应急管理 3

5.6培训管理 3

6控制要求 3

6.1设备采购 3

6.2安装调试 3

6.3运行使用 3

6.4维护维修 4

6.5报废处置 4

附录A（规范性）联网医疗设备网络安全技术防护要求 5

附录B（资料性）联网医疗设备分类分级判定表 7

参考文献 8

II

DB3205/T1127—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由苏州市卫生健康委员会提出并归口。

本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、苏州市公安局、苏州市质量和标准化院、东软集团股份有限公司、工业和信息化部电子第五研究所华东分所、苏州大学附属第二医院、中国联合网络通信有限公司苏州市分公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴江区卫生计生统计信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属儿童医院、苏州市立医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、苏州市独墅湖医院。

本文件主要起草人：鞠鑫、陆治平、汤峥、朱杰、金建芳、徐爱彬、张俊杰、刘旭哲、周文渊、王宝燕、周号云、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、朱建光、王澜、张华荣、程思民、刘亚军、汪春亮、朱晨、诸俊、闵寒、费雪刚、柳维生、唐广场、黄利军、沈颖杰、丁翀、方卫青、高喆、王华铎、许静、叶栋、钱瑾、葛长龙、马昌帅、黄尧。

III

DB3205/T1127—2024

引言

随着我国医疗数字化不断发展，融合物联网、AI、5G等新一代信息技术的联网医疗设备已经深入到患者医疗服务的各个领域。CT、磁共振、手术机器人等高端医疗设备大多依赖进口，由于缺乏完善的网络安全管理措施，设备厂商在进行远程运维时频繁出现数据泄露事件。因此，如何强化联网医疗设备的网络安全管理，成为苏州市卫生健康行业面临的难题。

从全行业的角度看，我国现有《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等文件；从卫生健康行业看，现有《医疗卫生机构网络安全管理办法》等文件，以上文件对网络安全已经提出了纲领性的要求，但缺乏针对联网医疗设备具体的网络安全管理要求，医疗卫生机构在落实联网医疗设备网络安全管理时缺少规范性文件的指导。本文件提出了较为细化的联网医疗设备网络安全管理规范，填补联网医疗设备网络安全管理的空白。

起草组对苏州市有代表性的10余家联网医疗设备规模较大的医疗卫生机构开展调研，搜集联网医疗设备网络安全管理中存在的难点和痛点问题，针对普遍困扰管理者的问题，起草组经过谨慎、细致的讨论提出了解决方案。标准稿件经过行业主管部门、监管部门、科研单位、设备厂家、检测评估机构以及行业专家多次研讨与论证，具备较强的可操作性。通过体系化开展联网医疗设备网络安全管理，解决联网医疗设备网络安全问题，提升医疗卫生机构的联网医疗设备安全管理和防护水平。

1

DB3205/T1127—2024

联网医疗设备网络安全管理规范

1范围

本文件规定了联网医疗设备的管理要求和控制要求。

本文件适用于苏州市各级医疗卫生机构加强对联网医疗设备的