ICS35.040 CCSL80 2024-08-09发布 2024-08-16实施 苏州市市场监督管理局发布DB3205 联网医疗设备网络安全管理规范 Specificationsforcybersecuritymanagementofconnectedmedical devices苏州市地方标准 DB3205/T1127—2024DB3205/T1127—2024 I目次 前言..................................................................................II 引言.................................................................................III 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4缩略语..............................................................................1 5管理要求............................................................................2 5.1组织管理......................................................................2 5.2制度管理......................................................................2 5.3人员管理......................................................................2 5.4风险管理......................................................................2 5.5应急管理......................................................................3 5.6培训管理......................................................................3 6控制要求............................................................................3 6.1设备采购......................................................................3 6.2安装调试......................................................................3 6.3运行使用......................................................................3 6.4维护维修......................................................................4 6.5报废处置......................................................................4 附录A（规范性）联网医疗设备网络安全技术防护要求......................................5 附录B（资料性）联网医疗设备分类分级判定表............................................7 参考文献...............................................................................8DB3205/T1127—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由苏州市卫生健康委员会提出并归口。 本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、苏州市公安局、苏州市 质量和标准化院、东软集团股份有限公司、工业和信息化部电子第五研究所华东分所、苏州大学附属第 二医院、中国联合网络通信有限公司苏州市分公司、昆山市卫生计生信息中心、常熟市卫生信息中心、 苏州市吴江区卫生计生统计信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康 局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属儿童医院、苏州市立医院、 苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、苏州市独墅湖医院。 本文件主要起草人：鞠鑫、陆治平、汤峥、朱杰、金建芳、徐爱彬、张俊杰、刘旭哲、周文渊、王 宝燕、周号云、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、金健、仲晓伟、李斌、颜庆、顾纪君、 徐先泉、朱建光、王澜、张华荣、程思民、刘亚军、汪春亮、朱晨、诸俊、闵寒、费雪刚、柳维生、唐 广场、黄利军、沈颖杰、丁翀、方卫青、高喆、王华铎、许静、叶栋、钱瑾、葛长龙、马昌帅、黄尧。DB3205/T1127—2024 III引言 随着我国医疗数字化不断发展，融合物联网、AI、5G等新一代信息技术的联网医疗设备已经深入 到患者医疗服务的各个领域。CT、磁共振、手术机器人等高端医疗设备大多依赖进口，由于缺乏完善的 网络安全管理措施，设备厂商在进行远程运维时频繁出现数据泄露事件。因此，如何强化联网医疗设备 的网络安全管理，成为苏州市卫生健康行业面临的难题。 从全行业的角度看，我国现有《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信 息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等文件；从卫生健康行业看，现有《医 疗卫生机构网络安全管理办法》等文件，以上文件对网络安全已经提出了纲领性的要求，但缺乏针对联 网医疗设备具体的网络安全管理要求，医疗卫生机构在落实联网医疗设备网络安全管理时缺少规范性文 件的指导。本文件提出了较为细化的联网医疗设备网络安全管理规范，填补联网医疗设备网络安全管理 的空白。 起草组对苏州市有代表性的10余家联网医疗设备规模较大的医疗卫生机构开展调研，搜集联网医 疗设备网络安全管理中存在的难点和痛点问题，针对普遍困扰管理者的问题，起草组经过谨慎、细致的 讨论提出了解决方案。标准稿件经过行业主管部门、监管部门、科研单位、设备厂家、检测评估机构以 及行业专家多次研讨与论证，具备较强的可操作性。通过体系化开展联网医疗设备网络安全管理，解决 联网医疗设备网络安全问题，提升医疗卫生机构的联网医疗设备安全管理和防护水平。