DB33∕T 1371-2024 基于云计算的医院信息系统安全规范(浙江省).pdf
《DB33∕T 1371-2024 基于云计算的医院信息系统安全规范(浙江省).pdf》由会员分享,可在线阅读,更多相关《DB33∕T 1371-2024 基于云计算的医院信息系统安全规范(浙江省).pdf(12页珍藏版)》请在咨信网上搜索。
1、 ICS 35.020 CCS L 70 33 浙江省地方标准 DB33/T 13712024 基于云计算的医院信息系统安全规范 Security specification for hospital information system based on cloud computing 2024-03-23 发布 2024-04-23 实施 浙江省市场监督管理局 发 布 DB33/T 13712024 I 前 言 本标准按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准
2、由浙江省卫生健康委员会提出、归口并组织实施。本标准起草单位:浙江省卫生健康信息中心、阿里巴巴(中国)有限公司、浙江大学医学院附属第一医院、来未来科技(浙江)有限公司、煕牛医疗科技(浙江)有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人:白晓媛、郭一、朱红儒、周敏、沈杰、墙辉、朱顺炎、叶林、金震、于小博、王文磊。DB33/T 13712024 1 基于云计算的医院信息系统安全规范 1 范围 本标准规定了基于云计算的医院信息系统的系统接入安全、系统应用安全、云计算安全、外联接口安全和数据安全等。本标准适用于基于云计算的医院信息系统的安全建设,也适用于对基于云计算的医院信息系统安全架构
3、进行评估。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 352732020 信息安全技术 个人信息安全规范 GB/T 397252020 信息安全技术 健康医疗数据安全指南 3 术语和定义 下列术语和定义适用于本标准。3.1 医院信息系统 hospital information system 医院医疗管理相关活动中进行信息管理和联机操作的计算机应用系统。3.
4、2 云计算 cloud computing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。3.3 容器 container 提供资源隔离、资源控制和程序可移植运行的环境。3.4 微服务 micro service 将应用程序构建为松散耦合服务集合的小型可组合逻辑单元。4 缩略语 下列缩略语适用于本标准。DB33/T 13712024 2 API:应用程序编程接口(application programming interface)APP:应用程序(application)CPU:中央处理器(central processing unit)HIS:医院信息系统
5、(hospital information system)HTTPS:超文本传输安全协议(hypertext transfer protocol over secure socket layer)IP:互联网协议(internet protocol)SQL:结构化查询语言(structured query language)5 总体架构 基于云计算的HIS架构参见附录A,主要包括系统接入、系统应用、云计算平台、外联接口和系统运营审计,其中系统运营审计功能参见附录B。6 系统接入安全 APP、网页、小程序等系统接入客户端应按照如下方式确保接入安全:a)与服务器端进行通信时:1)采用 HTTPS
6、等安全通信协议;2)不应故意留有或设置后门。b)采用技术措施,防范攻击者对客户端进行调试、分析和篡改。c)认证模块:1)应采用防暴力破解机制,如在多次连续尝试登录失败后锁定账号、IP 地址等;2)应进行签名,识别客户端的来源;3)使用密码登录时,不应使用空口令或弱口令,口令输入框不支持拷贝粘贴功能等。d)上传服务器时:1)应对上传的文件大小和类型进行限定;2)不应包含危害国家安全、个人隐私等内容的各类违法信息。7 系统应用安全 7.1 基本要求 系统应用安全应符合GB/T 222392019中8.1的安全要求。7.2 身份鉴别 7.2.1 应对本地与远程会诊等各种医疗场景下的医务工作者进行身份
7、鉴别,包括但不限于数字证书、生物特征识别等方式。7.2.2 应对患者进行身份鉴别,包括但不限于身份证、社保卡、医保电子凭证等为介质的身份鉴别技术。7.2.3 应为首次注册的用户账号关联实名制手机号,后通过实名制手机号登录,发送手机验证码。7.2.4 应在便民服务场景下,提供安全可靠的子女代替年老父母、监护人代替未成年人查询信息功能,包括但不限于账号绑定子女/监护人手机号、限制子女/监护人手机号可绑定账号数量、上传身份证或户DB33/T 13712024 3 口本扫描件/系统后台认证完成身份鉴别等。7.2.5 应提供账号的解绑与重认证功能。7.3 访问控制 应设置以下功能:a)系统无操作一定时间
8、后,自动锁定;b)设置多点登录安全管理规则:如果判定存在多点登录且发生冲突的前一登录未失效,应向前一登录设备推送异地登录通知,并强制下线;c)设置同时登录不同医院子系统的能力,如同时登录中心药房和静配药房;d)具备权限授予和收回功能,如医院教学时涉及医疗数据访问权限,在进行流程审批后向受教学员开放,并在教学完成后回收;e)应对系统资源进行分级管理,防止未授权用户接入医院计算机网络及访问网络中的资源,如医保字典、医疗综合收费标准字典等,除规定人员外,其他用户仅有查询功能。7.4 安全审计 7.4.1 应对用户行为进行日志记录,日志记录内容宜包括操作时间、操作账号、客户端 IP、服务器 IP、操作
9、类型、操作名称、操作内容等信息。7.4.2 应对重要医疗场景进行日志记录,如双向转诊的患者记录、远程会诊的过程以及诊断结果等。7.4.3 宜对后勤、人力、教学、科研等功能使用情况进行日志记录。示例:对教学中所使用医疗数据的权限开放以及回收情况等的日志记录。8 云计算安全 8.1 基本要求 云计算平台应具备访问控制、入侵防范、数据加密、数据备份恢复等功能,应符合GB/T 222392019中8.1、8.2中规定的安全要求。8.2 云数据库安全要求 8.2.1 应支持对数据库的读写操作进行独立授权。8.2.2 访问控制应达到数据库表、视图、字段级别。8.2.3 网络隔离和网络安全访问控制应支持 I
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB33T 1371-2024 基于云计算的医院信息系统安全规范浙江省 DB33 1371 2024 基于 计算 医院 信息系统安全 规范 浙江省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。