您当前的位置:首页 > T/GDNS 012-2023 医疗设备安全规范 > 下载地址2
T/GDNS 012-2023 医疗设备安全规范
- 名 称:T/GDNS 012-2023 医疗设备安全规范 - 下载地址2
- 类 别:综合团体标准
- 下载地址:[下载地址2]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 11.040.01
C 47
团体标准
T/GDNS 012—2023
医疗设备安全规范
Safety code for medical devices
2023 - 11 - 30 发布2024 - 02 - 01 实施
广东省计算机信息网络安全协会发布
目 录
目 录............................................................................... I
前 言.............................................................................. II
标准中文名称.......................................................... 错误!未定义书签。
1 范围................................................................................ 1
1.1 设备.................................................................................................................................................................1
1.2 管理组织.........................................................................................................................................................1
1.3 人员.................................................................................................................................................................1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
3.1 医疗设备.........................................................................................................................................................1
3.2 外部用户.........................................................................................................................................................1
4 医疗设备网络防护要求................................................................ 2
4.1 网络架构.........................................................................................................................................................2
4.2 通讯传输.........................................................................................................................................................2
4.3 边界防护.........................................................................................................................................................2
4.4 访问控制.........................................................................................................................................................2
4.5 入侵防范.........................................................................................................................................................3
4.6 安全审计.........................................................................................................................................................3
5 医疗设备终端防护要求................................................................ 3
5.1 身份鉴别.........................................................................................................................................................3
5.2 访问控制.........................................................................................................................................................3
5.3 安全审计.........................................................................................................................................................4
5.4 入侵防范.........................................................................................................................................................4
5.5 个人信息防范.................................................................................................................................................4
6 医疗设备管理安全要求................................................................ 4
6.1 人员管理.........................................................................................................................................................4
6.2 运维管理.........................................................................................................................................................4
T/GDNS 012-2023
II
前 言
本标准按照GB/T 1.1《标准化工作导则第1 部分:标准化文件的结构和起草规则》要求编写。
本标准由广东省计算机信息网络安全协会提出并归口。
本标准起草单位:广东省人民医院、中山大学附属第一医院、南方医科大学南方医院、广东省中医
院、中山大学孙逸仙纪念医院、中山大学附属口腔医院、中山大学附属肿瘤医院、广州中医药大学第一
附属医院、广州中医药大学第二附属医院、和祐国际医院、广东省计算机信息网络安全协会。
本标准起草人:杨洋、严晓明、贺嘉嘉、严静东、高峰、何彩升、吴庆斌、余俊蓉、傅昊阳、谭志
明。
本标准为首次发布。
T/GDNS 012-2023
1
医疗设备安全规范
1 范围
1.1 设备
本应用规范适用于具有网络连接功能以进行电子数据交换或远程控制的医疗设备,其中网络包括无
线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。
1.2 管理组织
本应用规范适用于医院内部管理设备的相关部门,比如:设备采购科室、使用及管理科室、信息科
室。管理组织负责统筹协调,完成对医疗设备的运维管控和安全管理工作。
1.3 人员
本应用规范适用于设备采购人员、设备供应商、设备开发人员、设备运维人员、设备使用者、设备
管理人员、设备审计人员。
2 规范性引用文件
国家医疗健康信息医院信息互联互通标准化成熟度测评方案(2020年版)
全国医院信息化建设标准与规范(试行)
GB/T 22239-2019信息安全技术网络安全等级保护基本要求
GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术网络安全等级保护测评要求
GB 50174-2017数据中心设计规范
GB/T 37044-2018 信息安全技术物联网安全参考模型及通用要求
3 术语和定义
3.1 医疗设备
单独或者组合使用于人体的仪器、设备、器具、材料或者其他辅助医院业务开展的软硬件设备,包
括但不限于:血透机、呼吸机、心电图机、B超机、放射类设备、检验类设备、专科医院特有设备、自
助终端设备、大屏叫号设备。
3.2 外部用户
非医院正式员工及未经授权使用设备的人员,包括但不限于:运维人员、软件开发人员、第三方供
应链、访客等。
T/GDNS 012-2023
2
4 医疗设备网络防护要求
4.1 网络架构
a. 应按医疗设备的功能划分不同的网络区域,并根据管理便捷性和控制有效性的原则,为各分区
合理分配网络地址;
b. 医疗设备网络区域与其他网络区域之间应采取可靠的技术隔离手段。
4.2 通讯传输
a. 宜采用校验技术或国密技术保证通信过程中数据的完整性;
b. 宜采用国密技术保证通信过程中数据的保密性。
4.3 边界防护
a. 医疗设备跨网络边界访问和数据传输时,应经过受控的边界设备进行通信;
b. 应对非授权设备私自联到其他网络的行为进行检查或限制;
c. 应对外部用户非授权联到内部设备的行为进行检查或限制;
d. 医疗设备使用无线网络时,应经过受管理和安全的边界设备进行通信;
e. 应定期采用技术手段检测非授权医疗设备跨网访问行为或外部用户非授权访问医疗设备行为,
并采取阻断措施。
4.4 访问控制
a. 应在网络边界或区域之间配置访问控制规则,默认情况下除允许受控接口通讯外,拒绝所有通
讯;
b. 应定期验证访问控制策略的有效性,并删除多余无效的访问控制规则,保证业务访问控制最小
化;
c. 应对源地址、目的地址、源端口、目的端口和协议做允许/拒绝数据包进出的配置;
d. 应对进出网络的数据流实现基于文件类型的访问控制。
T/GDNS 012-2023
3
4.5 入侵防范
a. 应在关键网络节点处部署监测并有效遏制或减少来自外部的网络攻击行为;
b. 应在关键网络节点处部署监测并有效遏制内部向外发起的网络攻击行为;
c. 当检测到攻击行为时,应记录可溯源的有效信息,包括攻击者IP、攻击类型、受攻击的目标以
及攻击发生的时间,在发生严重入侵事件时提供阻断功能。
4.6 安全审计
a. 应具有保障信息系统服务器时间一致的机制;
b. 应对关键网络节点的每个用户行为进行审计,审计记录应涵盖事件发生的具体日期与时间、事
件类别、事件成功与否的状态,以及其他所有相关审计详情;
c. 应对审计记录定期执行备份操作,防止审计记录被意外删除、修改,确保审计记录的完整性;
d. 应建立完善的审核机制,向境外传输数据应经过安全评估。
5 医疗设备终端防护要求
5.1 身份鉴别
a. 应对登录用户实施唯一性身份标识,采用具有复杂性的鉴别信息进行身份验证,同时要求定期
更新鉴别信息;
b. 应启用登录失败处理机制,包括终止会话、非法登录尝试次数限制,以及在登录连接超时后自
动注销用户会话等安全措施。
5.2 访问控制
a. 应对的设备使用者分配相应的账户及访问权限
b. 应对默认账户进行重命名或删除操作,禁止使用初始化的口令;
c. 应清理并禁用90 天未使用的账号,确保不存在账号共享的情况;
d. 应为管理用户分配仅满足其业务需求的最小权限,实施权限分离策略。
T/GDNS 012-2023
4
5.3 安全审计
a. 应对医疗设备的每个用户行为进行审计,审计记录应涵盖事件发生的具体日期与时间、事件类
别、事件成功与否的状态,以及其他所有相关审计详情;
b. 应对审计记录定期执行备份操作,防止审计记录被意外删除、修改,确保审计记录的完整性;
5.4 入侵防范
a. 应在不改变现有环境的情况下实现安全防护,环境包括不限于网络架构、操作系统、应用软件;
b. 应按照业务要求,实现最小部署,禁用非必要的系统服务、默认共享、存在高风险的安全端口;
c. 医疗设备管理区域应实施严格的安全限制措施,确保不被未经授权的终端访问;
d. 应能检测识别已知的潜在漏洞,经评估与测试后,对漏洞进行修复并验证。
5.5 个人信息防范
a. 应仅收集满足处理业务所必需的最少量个人信息;
b. 应确保用户个人信息免受未授权访问及非法使用的侵害。
6 医疗设备管理安全要求
6.1 人员管理
a. 应核实医疗设备相关人员的身份信息,全面审核其专业资质及安全背景;
b. 应要求医疗设备相关人员签署保密协议,关键岗位人员签署岗位责任协议;
c. 应对医疗设备相关人员进行安全意识与岗位技能培训,同时明确其安全职责及违规后的惩戒措
施;
d. 应定期对医疗设备相关人员进行安全基础知识、医疗设备操作规程等培训;
e. 对关键区域或关键系统禁止外部人员访问。
6.2 运维管理
a. 应建立一套安全事件报告与处置管理机制,明确各类安全事件的报告流程、处置方法及响应步
骤,并详细规定现场处理、事件上报以及后续恢复工作的具体职责;
b. 应在安全事件的报告与应急响应流程中,开展事件原因的分析与鉴定工作,收集相关证据,详
T/GDNS 012-2023
5
细记录整个处理流程,并总结经验教训;
c. 重大安全事件应采取特定的处理流程与报告机制;
d. 应制定安全应急预案,包括事件分级响应、应急处理步骤及系统恢复流程等关键内容;
e. 应定期对医疗设备相关人员进行应急演练培训,并开展应急演练活动;
f. 应选择符合国家相关规定的第三方医疗设备运维服务商;
g. 应与选定的第三方医疗设备运维服务商签署协议, 明确服务范围以及工作职责;
h. 医疗设备的物理环境发生变更后,应确保该设备的安全性符合本规范的要求。
C 47
团体标准
T/GDNS 012—2023
医疗设备安全规范
Safety code for medical devices
2023 - 11 - 30 发布2024 - 02 - 01 实施
广东省计算机信息网络安全协会发布
目 录
目 录............................................................................... I
前 言.............................................................................. II
标准中文名称.......................................................... 错误!未定义书签。
1 范围................................................................................ 1
1.1 设备.................................................................................................................................................................1
1.2 管理组织.........................................................................................................................................................1
1.3 人员.................................................................................................................................................................1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
3.1 医疗设备.........................................................................................................................................................1
3.2 外部用户.........................................................................................................................................................1
4 医疗设备网络防护要求................................................................ 2
4.1 网络架构.........................................................................................................................................................2
4.2 通讯传输.........................................................................................................................................................2
4.3 边界防护.........................................................................................................................................................2
4.4 访问控制.........................................................................................................................................................2
4.5 入侵防范.........................................................................................................................................................3
4.6 安全审计.........................................................................................................................................................3
5 医疗设备终端防护要求................................................................ 3
5.1 身份鉴别.........................................................................................................................................................3
5.2 访问控制.........................................................................................................................................................3
5.3 安全审计.........................................................................................................................................................4
5.4 入侵防范.........................................................................................................................................................4
5.5 个人信息防范.................................................................................................................................................4
6 医疗设备管理安全要求................................................................ 4
6.1 人员管理.........................................................................................................................................................4
6.2 运维管理.........................................................................................................................................................4
T/GDNS 012-2023
II
前 言
本标准按照GB/T 1.1《标准化工作导则第1 部分:标准化文件的结构和起草规则》要求编写。
本标准由广东省计算机信息网络安全协会提出并归口。
本标准起草单位:广东省人民医院、中山大学附属第一医院、南方医科大学南方医院、广东省中医
院、中山大学孙逸仙纪念医院、中山大学附属口腔医院、中山大学附属肿瘤医院、广州中医药大学第一
附属医院、广州中医药大学第二附属医院、和祐国际医院、广东省计算机信息网络安全协会。
本标准起草人:杨洋、严晓明、贺嘉嘉、严静东、高峰、何彩升、吴庆斌、余俊蓉、傅昊阳、谭志
明。
本标准为首次发布。
T/GDNS 012-2023
1
医疗设备安全规范
1 范围
1.1 设备
本应用规范适用于具有网络连接功能以进行电子数据交换或远程控制的医疗设备,其中网络包括无
线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。
1.2 管理组织
本应用规范适用于医院内部管理设备的相关部门,比如:设备采购科室、使用及管理科室、信息科
室。管理组织负责统筹协调,完成对医疗设备的运维管控和安全管理工作。
1.3 人员
本应用规范适用于设备采购人员、设备供应商、设备开发人员、设备运维人员、设备使用者、设备
管理人员、设备审计人员。
2 规范性引用文件
国家医疗健康信息医院信息互联互通标准化成熟度测评方案(2020年版)
全国医院信息化建设标准与规范(试行)
GB/T 22239-2019信息安全技术网络安全等级保护基本要求
GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019信息安全技术网络安全等级保护测评要求
GB 50174-2017数据中心设计规范
GB/T 37044-2018 信息安全技术物联网安全参考模型及通用要求
3 术语和定义
3.1 医疗设备
单独或者组合使用于人体的仪器、设备、器具、材料或者其他辅助医院业务开展的软硬件设备,包
括但不限于:血透机、呼吸机、心电图机、B超机、放射类设备、检验类设备、专科医院特有设备、自
助终端设备、大屏叫号设备。
3.2 外部用户
非医院正式员工及未经授权使用设备的人员,包括但不限于:运维人员、软件开发人员、第三方供
应链、访客等。
T/GDNS 012-2023
2
4 医疗设备网络防护要求
4.1 网络架构
a. 应按医疗设备的功能划分不同的网络区域,并根据管理便捷性和控制有效性的原则,为各分区
合理分配网络地址;
b. 医疗设备网络区域与其他网络区域之间应采取可靠的技术隔离手段。
4.2 通讯传输
a. 宜采用校验技术或国密技术保证通信过程中数据的完整性;
b. 宜采用国密技术保证通信过程中数据的保密性。
4.3 边界防护
a. 医疗设备跨网络边界访问和数据传输时,应经过受控的边界设备进行通信;
b. 应对非授权设备私自联到其他网络的行为进行检查或限制;
c. 应对外部用户非授权联到内部设备的行为进行检查或限制;
d. 医疗设备使用无线网络时,应经过受管理和安全的边界设备进行通信;
e. 应定期采用技术手段检测非授权医疗设备跨网访问行为或外部用户非授权访问医疗设备行为,
并采取阻断措施。
4.4 访问控制
a. 应在网络边界或区域之间配置访问控制规则,默认情况下除允许受控接口通讯外,拒绝所有通
讯;
b. 应定期验证访问控制策略的有效性,并删除多余无效的访问控制规则,保证业务访问控制最小
化;
c. 应对源地址、目的地址、源端口、目的端口和协议做允许/拒绝数据包进出的配置;
d. 应对进出网络的数据流实现基于文件类型的访问控制。
T/GDNS 012-2023
3
4.5 入侵防范
a. 应在关键网络节点处部署监测并有效遏制或减少来自外部的网络攻击行为;
b. 应在关键网络节点处部署监测并有效遏制内部向外发起的网络攻击行为;
c. 当检测到攻击行为时,应记录可溯源的有效信息,包括攻击者IP、攻击类型、受攻击的目标以
及攻击发生的时间,在发生严重入侵事件时提供阻断功能。
4.6 安全审计
a. 应具有保障信息系统服务器时间一致的机制;
b. 应对关键网络节点的每个用户行为进行审计,审计记录应涵盖事件发生的具体日期与时间、事
件类别、事件成功与否的状态,以及其他所有相关审计详情;
c. 应对审计记录定期执行备份操作,防止审计记录被意外删除、修改,确保审计记录的完整性;
d. 应建立完善的审核机制,向境外传输数据应经过安全评估。
5 医疗设备终端防护要求
5.1 身份鉴别
a. 应对登录用户实施唯一性身份标识,采用具有复杂性的鉴别信息进行身份验证,同时要求定期
更新鉴别信息;
b. 应启用登录失败处理机制,包括终止会话、非法登录尝试次数限制,以及在登录连接超时后自
动注销用户会话等安全措施。
5.2 访问控制
a. 应对的设备使用者分配相应的账户及访问权限
b. 应对默认账户进行重命名或删除操作,禁止使用初始化的口令;
c. 应清理并禁用90 天未使用的账号,确保不存在账号共享的情况;
d. 应为管理用户分配仅满足其业务需求的最小权限,实施权限分离策略。
T/GDNS 012-2023
4
5.3 安全审计
a. 应对医疗设备的每个用户行为进行审计,审计记录应涵盖事件发生的具体日期与时间、事件类
别、事件成功与否的状态,以及其他所有相关审计详情;
b. 应对审计记录定期执行备份操作,防止审计记录被意外删除、修改,确保审计记录的完整性;
5.4 入侵防范
a. 应在不改变现有环境的情况下实现安全防护,环境包括不限于网络架构、操作系统、应用软件;
b. 应按照业务要求,实现最小部署,禁用非必要的系统服务、默认共享、存在高风险的安全端口;
c. 医疗设备管理区域应实施严格的安全限制措施,确保不被未经授权的终端访问;
d. 应能检测识别已知的潜在漏洞,经评估与测试后,对漏洞进行修复并验证。
5.5 个人信息防范
a. 应仅收集满足处理业务所必需的最少量个人信息;
b. 应确保用户个人信息免受未授权访问及非法使用的侵害。
6 医疗设备管理安全要求
6.1 人员管理
a. 应核实医疗设备相关人员的身份信息,全面审核其专业资质及安全背景;
b. 应要求医疗设备相关人员签署保密协议,关键岗位人员签署岗位责任协议;
c. 应对医疗设备相关人员进行安全意识与岗位技能培训,同时明确其安全职责及违规后的惩戒措
施;
d. 应定期对医疗设备相关人员进行安全基础知识、医疗设备操作规程等培训;
e. 对关键区域或关键系统禁止外部人员访问。
6.2 运维管理
a. 应建立一套安全事件报告与处置管理机制,明确各类安全事件的报告流程、处置方法及响应步
骤,并详细规定现场处理、事件上报以及后续恢复工作的具体职责;
b. 应在安全事件的报告与应急响应流程中,开展事件原因的分析与鉴定工作,收集相关证据,详
T/GDNS 012-2023
5
细记录整个处理流程,并总结经验教训;
c. 重大安全事件应采取特定的处理流程与报告机制;
d. 应制定安全应急预案,包括事件分级响应、应急处理步骤及系统恢复流程等关键内容;
e. 应定期对医疗设备相关人员进行应急演练培训,并开展应急演练活动;
f. 应选择符合国家相关规定的第三方医疗设备运维服务商;
g. 应与选定的第三方医疗设备运维服务商签署协议, 明确服务范围以及工作职责;
h. 医疗设备的物理环境发生变更后,应确保该设备的安全性符合本规范的要求。
相关推荐
- T/CSAE 263-2022 电动汽车驱动电机系统控制器 故障注入测试规范
- T/QLCY 001-2022 学校食堂大宗食品原料采购 食品安全管理规范
- T/WLJC 49-2017 机床装备企业风险控制指南 固定资产
- T/WZBF 023-2022 流量分配调节阀
- T/ZZB 3032-2023 锂电池用阻燃聚丙烯麦拉膜
- T/QGCML 818-2023 轨道交通车辆表面保护聚脲涂层
- T/GDPAWS 24-2023 应急救援救助帐篷 厕所帐篷
- T/GDPAWS 22-2023 应急救援救助帐篷 框架式帐篷
- T/CIECCPA 039-2023 垃圾焚烧电力碳足迹量化与评价方法
- T/CCUA 016-2021 超级计算数据中心设计要求