DB34_T 4304-2022 医院网络安全管理规范.docx

ICS35.040CCSL80

34

安徽省地方标准

DB34/T4304—2022

医院网络安全管理规范

Specificationforhospitalcybersecuriymanagement

2022-10-26发布2022-11-26实施

安徽省市场监督管理局发布

DB34/T4304—2022

I

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省公安厅提出并归口。

本文件起草单位：安徽医科大学第一附属医院、安徽医科大学第二附属医院、安徽省公安厅网络安全保卫总队、安徽省卫生健康委员会信息中心、中国科学技术大学第一附属医院（安徽省立医院）、皖南医学院弋矶山医院、蚌埠医学院第一附属医院、芜湖市第二人民医院、安徽国康网络安全测评有限公司、安徽溯源电子科技有限公司、安徽中医药大学第一附属医院、安徽省公共卫生临床中心、安徽医科大学、皖南医学院、合肥市公安局科技信息化支队、安徽医科大学附属安庆第一人民医院、宁国市公安局、太和县人民医院、上海安翼保信息技术服务有限公司、安徽上下数据科技有限公司、安徽安恒数智信息技术有限公司、绿盟科技集团股份有限公司、三六零数字安全科技集团有限公司、深信服科技股份有限公司、北京华誉维诚技术服务有限公司。

本文件主要起草人：周典、柴培钰、冯响林、徐红兵、杨波、葛伟、陶敏、徐兵、黄煜、汪涛、刘冬、杨爱民、张文雅、偶德俊、沈沛、史寿乐、黄盈中、张业睿、胡红雨、孙一鸣、徐礼理、张文修、张旸、黄电、郭伟、陈宗明、余福生、方成成、吕芳炉、陶晓东、马守宽、王彬、李善智、郑传统、戴博文、温长健。

DB34/T4304—2022

1

医院网络安全管理规范

1范围

本文件确定了医院安全运维管理的基本要求，并规定了医院网络安全运维的对象、安全事件处置和应急管理。

本文件适用于二级甲等以上医院网络安全运维工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB50348安全技术防范技术标准

3术语和定义

GB50348界定的以及下列术语和定义适用于本文件。

3.1

智能入网终端intelligentnetworkaccessterminal

可通过网络协议完成服务交互的设备。

3.2

感染监控infectionmonitoring

对管理对象被病毒、木马感染，对其它对象出现传染、攻击的现象进行实时监控，并生成感染事件进行管控

3.3

资源监控resourcemonitoring

对软硬件资源使用情况，如CPU、内存、存储、进程等进行监控，超过指定阈值生成资源事件进行管控。

4基本要求

4,1机构

4.1.1应建立由医院主要负责人牵头，各部门参与的网络安全管理组织。

4.1.2应设定网络安全的管理部门，负责医院网络安全管理最终裁决。

4.1.3管理部门应牵头制定网络安全的各项制度，明确网络安全使用的各项流程及责任。

4.2人员

4.2.1应具备从事网络安全运维服务所必备的知识和技能。

4.2.2应配备必备的系统管理员、审计管理员和网络安全管理员等。

DB34/T4304—2022

2

4.2.3应配备专职安全管理员，不可兼任。

4.2.4应对各类人员进行网络安全意识教育和岗位技能培训，并签订必威体育官网网址承诺书。

4.3经费

每年应有专门的网络安全管理的经费预算。

4,4规划

4.4.1对网络安全管理应制定规划，包括目标实现、人员培养、经费投入、制度完善等。

4.4.2应根据保护对象制定安全整体规划，应包含密码技术等相关内容，并形成配套文件。

4.4.3应组织相关部门和有关安全专家对安全整体规划及其配套文件进行论证，经过批准后方可实施。

4.5制度

包括但不限于：

——安全策略管理制度；

——设备安全管理制度；

——机房安全管理制度；

——密码使用管理制度；

——系统变更管理规定；

——数据备份恢复管理制度；

——人事安全管理制度；

——员工培训管理程序；

——办公区域安全管理制度；

——产品采购管理制度；

——信息系统供应商管理制度；

——软件测试与验收管理制度