《医疗机构联网医疗设备网络安全指南》

医疗机构联网医疗设备网络安全指南2026-01-15发布2026-01-15实施中国医学装备协会I前言 Ⅲ 12规范性引用文件 13术语和定义 1 15基本原则 26综合管理 27风险管理 38安全防护体系 39设备生命周期网络安全工作 4附录A(规范性)联网医疗设备网络安全管理职责划分 附录B(资料性)联网医疗设备资产分级分类参考 附录C(资料性)联网医疗设备网络安全能力声明示例 附录D(资料性)设备安全台账登记内容参考 附录E(规范性)联网医疗设备网络安全风险管理 附录F(规范性)网络安全防护与数据安全要求 附录G(资料性)联网医疗设备安装验收相关评估样表 25参考文献 Ⅲ本文件起草单位：中国医学装备协会、中国医学装备协会医学装备信息交互江苏省人民医院、中南大学湘雅医院、上海交通大学医学院附属瑞金医院、广东安全研究中心、飞利浦(中国)投资有限公司、西门子医疗系统有限公司、通用电气医疗系统贸易发展股份有限公司、杭州安恒信息技术股份有限公司、上海柯渡医学科技股份有限公司、福建中信网安信息12规范性引用文件GB/T44585.1风险管理在接人T网络的医疗器械中的应用第1部分：联网医疗器械或健康软件在其实施和使用中的安全有效性和网络安全3术语和定义联网医疗设备networkconnectedmedlcaldeyices具有网络连接功能并接大到医疗卫生机构内部网络进行数据通信的医疗设备。4缩略语2VLAN(VirtualLocalArcaNetwork)虚拟局城网VPN(VirtualPrivateNetwork)虚拟专用网5基本原则5.1统一管理：纳人医疗机构统一安全管理体系，统筹安全规划，落实安全策略。5.2最小必要：仅授予必要的数据和系统访问权限，仅启用必要的端口、接口及服务等。5.3分层防护：构建网络边界、终端、数据和应用的多层防护体系。5.4数据保护：数据分级分类，并制定相应的访问控制和审批流程。5.6持续改进：定期评估风险，动态优化安全策略。6综合管理6.1组织管理6.1.1组织架构联网医疗设备网络安全应由医疗机构网络安全和信息化工作领导小组统一管理。联网医疗设备网络安全工作应由医疗设备管理部门(包括配置、采购、运维和处置等职能)、信息管理部门(涵盖系统、网络及终端管理职责)、医疗管理部门以及设备使用部门的负责人组建工作组，落实相关要求，完成日常工作。医疗机构应明确各部门职责分工，联网医疗设备网络安全工作组定期组织开展联网医疗设备网络安全形势监测、分析和评估工作，制定突发事件应急预案，并定期组织演练。注：本文件中的管理部门以管理职责作为依据，与医疗机构实际管理部门设置可能有所不同(例如文中提及的医疗设备管理部门，其采购管理职责可能由医学工程处承担，也可能由独立的招标采购中心承担)。6.1.2职责划分6.2制度管理6.2.1医疗机构应遵照国家法律法规要求，参考相关标准，建立完善覆盖生命周期各环节的《联网医疗设备网络安全管理制度及技术规范》,明确安全策略、管理流程及岗位职责，并定期检查制度落实情况。6.2.2管理制度及工作流程宜定期评估，对标上位文件变化，根据安全态势及安全检查发现的问题及时修订，并开展培训。6.3人员管理6.3.1明确医疗机构内、外部人员岗位网络安全职责和保密内容(包含但不限于保密对象、范围、内容和期限)并签署医疗机构统一格式的网络安全与保密协议，网络安全与保密协议内容明确联网医疗设备网络安全要求。36.3.3按最小必要、职责分离原则进行统一权限分配管理6.3.4人员变动时，及时更新或撤销其权限，确保权限分配与实际工作需求一致。审批备案并重新签署网络安全与保密协议。6.3.6医疗机构内、外部人员均严格遵守医疗机构的网络安全政策和操作规程，及时上报网络安全事件。6.4资产管理6.4.1联网医疗设备资产清单6.4.2设备数据资产清单医疗设备的数据应纳入医疗机构数据安全管理体系，按照《数据安全法》《个人信息保护法》的要求，依据国家卫生健康委等医疗健康行业主管部门的指导意见，进行数据分类分级，形成数据资产清单，对其用途进行登记，并对不同数据资产进行针对性保护。设备数据分类原则可见B.2。6.5设备网络安全台账管理6.5.1医疗机构宜在资产管理登记信息基础上，为联网医疗设备建立设备网络安全台账，确保信息真实、准确、完整和可追溯，宜使用信息系统记录设备安全关键信息。6.5.2医疗设备管理部门宜指定专人(兼职/专职)负责设备网络安全台账管理工作，制定安全台账权限管理和授权访问策略。6.5.3医疗机构可参照附录C,要求医疗设备制造商提供产品网络安全能力说明文件，设备管理部门审核并登记归档相关文件。联网部署信息由信息管理部门提供。设备安全台账登记内容可见附录D;6.5.4医疗机构应对设备运维过程及设备软硬件的变更信息进行记录，包括运维工程师及其授权信息、变更信息、升级信息、设备安全检查及加固信息等；a)医疗设备报废与处置，应记录数据销毁时间、执行人、操作内容、数据资产处置情况等；7风险管理按照GB/T44585.1,在联网医疗设备的生命周期各环节落实风险管理，具体风险管理要点见附8安全防护体系8.1网络规划设计8.1.1组网方式48.1.2安全域规划对联网医疗设备专用网络进行安全城划分，按设备类型、业务功能属性或设备网络安全级别等多种划分方式将各类医疗设备归至各自安全域，实施分域安全管理，避免因网络风暴或其他网络安全因素造成医疗设备全域网络不稳定或瘫痪。a)按设备类型：如按放射影像、心电、超声、监护类设备等划分。b)按业务属性：考虑业务场景或空间进行划分，业务场景如临床诊疗域(含手术室、ICU设备)、医技检查域(含放射影像、检验科设备)等；业务空间如门诊、病房等。c)按设备网络安全级别：如医疗机构中业务使用的具有网络安全高风险联网医疗设备，考虑独立划分。8.2网络安全防护网络安全防护宜包插安全物理环境、安全通信网络、安全a)安全物理外境，对在独立机房部署应用的联网医疗设备实现物理环境安全保险b)安全通信网络、对具有对外通信功能的联网医疗设备实现通信网络安全保。c)安全区域边界，基于联网医疗设备部碧应用的安全政实现区城边界安全保障d)安全十算环境，对接人医疗机构信息系纯的联网医财设备火现计选乐境安全保障。e)安全管理中心，医疗机构根据联网医疗设餐的网络安全管理需水和整体的网安全规划，采取共车或独立的联网医疗没备网络安全管理中心进行设备的网络安全管理。8.3数据安全与个人信息保护联网医疗设备数据安全与人信地上理纳人医疗机构整体数据安全普理体系a)对联网医疗设备在医焊机构事政集与产生、存储与传抽使用与共季等医疗b)遵守《人信泉保护法》的相关规定，按照GB/T85273要求开展伞人信息保护工作，确保联网医疗设备收集信息限定在合理且必要的最小范围，个人信息保护受限可拉，具体要求见F.2.2。健康行业的数据管理规定，进行全面的安全评估，并持续接受相关部门的临督。9设备生命周期网络安全工作9.1设备论证与招标采购9.1.1配置论证使用科室提出设备需求申请，说明设备是否需要联网、数据使用场景等内容；设备管理部门和信息管理部门组织专家对拟配置的联网医疗设备网络安全进行论证，为是否配置此种设备提供辅助决策；论证内容包含：a)联网方式是否与医疗机构现有网络资源匹配，是否符合医疗机构网络安全规划要求；b)是否存在敏感数据；59.1.2安全评估对于已纳人采购计划的医疗设备，在采购意向公开后，由设备管理部门、信息管理部门、医疗管理部门、设备使用部门共同参与，对响应采购意向公告的厂商及其产品进行网络安全评估，包括联网技术可行a)评估拟采购设备网络安全风险，重点关注个人信息和敏感数据、加密方式、互联网连接、云计算、数据出境、数据存储方式等方面的风险。c)依据风险评估结果，必要时，要求厂商提供网络安全应对方案。d)形成联网医疗设备的网络安全雷求。9.1.3招标采购根据拟采购联网医疗设备的网络安全需求，拟定标书中网结安全要，宜在标书中明确设备接口应支持的医疗设备网络要全相关接口技术标准(例如IHEATNA等)。对参与意标的医疗设备网络安全能办进行平估，并将其作为评标指标。9.1.4合同要求a)明确厂商在设备软件安装升级、运行维护、故障处理等环节中需承担的网络安全责任、义务及违约后果。b)将设备网络安全能加工明及竞标中提供的网络安全方案等材料作为合同附件一并签署。c)宜在合同中说明以下的网络安全要点：1)厂高未经授权不得使用医疗设备荏储的医疗数据；2)明确由厂商承担的数据保密的责任叉务及违约后果；4)厂商承诺在提供的医疗设备软硬件中不得包含恶意代码及后门程序5)厂商力诺在设备安装、维修、保养等服务中，确保参与服务的负工知和能够遵守医疗机构网络安全的要求。9.2设备联网安装调试验收9.2.1环境准备设备厂商提出联网设备网络安装环境需求，设备管理部门按照规划组织相关人员实地踏勘，信息管理部门审核需求、依据网络安全管理规划和策略，准备环境，三方达成共识，对网络安装环境进行确认(见9.2.2安全方案设备厂商根据已确认的网络安装环境和业务场景、资源情况及网络安全管理策略提出安全方案，包含联网和安全防护技术方案。联网方案包括网络接人方式、网络带宽、网络配置，以及安装调试方案、软件安装清单等；安全防护技术方案可参考第8章，并包括应急保障等。设备管理部门、设备使用部门和信息管理部门共同审核及确认安全方案。69.2.3到货核验9.2.4联网部署医疗机构信息管理部门根据网络规划分配网络资源，设置并协助部署医疗设备的网络参数及安全策略。设备管理部门协调设备供应商对联网医疗设备依据安全方案进行配置。重点关注：a)默认口令更改：宜根据网络安全防护要求修改默认账号初始口令(尤其是启用高权限访问账号的口令);d)禁用非必要端口和服务：在不影响医疗设备使用和运维的前提下，禁用系统配套的主机USB端e)落实网络安全策略配置：如防火墙(ACL)、网络分段、关键资源(如数据库和操作系统)访问控制配置；i)备份与校验：对关键资源建立备份机制(如数据，恢复镜像等),配置备份任务，开启校验功能；9.2.5网络安全测试部署完成后，依据安全方案要求，信息管理部门、设备管理部门和设备使用部门共同对联网设备进行网络安全测试，必要时可邀请具有资质的第三方机构测评。测试中发现的问题及时整改，复测后出具安全网络测试报告。9.2.6网络安全培训医疗设备管理部门和信息管理部门按需组织对医疗设备管理、使用、运维人员的网络安全培训。医疗设备厂商需提供培训的技术支持。见G.2记录培训参与人员及内容。设备网络安全验收时，由设备管理部门和信息管理部门共同组织，重点内容包括网络配置、系统配进行医疗设备网络安全验收记录。未通过安全验收的设备不能联网使用。9.3设备使用与运维9.3.1使用管理7a)按要求规范使用设备，不得违规更改设备相关配置。b)按职责分离、最小必要原则配置账号及权限。对于无法禁用但应使用的通用账号，每次使用时登记使用人员与时间，确保与系统操作日志记录匹配。d)不在设备上安装非软件安装清单内的软件。确需安装的，另行申请报批。e)对于数据的使用、加工、共享等操作(例如数据导人、导出、拷贝),申请并经授权后方可实施。该操作仅限于被授权的特定场景。i)设备移出医疗机构使用时，向设备管理部门报备，宜清除敏感数据，并保留数据清除处理记录。j)设备使用过程中，如发现异常情况，及时报告相关部门处理。日常运行中的网络安全管理.1设备系统管理员账号，宜由设备管理部门指定专人管理。.2设备巡检宜包含安全巡检，记录安全状态。.3定期对设备日志进行分析与审计，发现异常时记录并及时采取措施。.4在医疗设备技术兼容的前提下，医疗机构可配置专业工具，监测设备外围状态和网络行为，发现异常时记录并及时采取措施。.5宜采取适宜的技术手段识别设备安全漏洞和隐患，明确漏洞风险等级及修复时间要求，及时修复并进行验证。维护维修中的网络安全管理.1验证设备维护维修人员身份及授权情况。.2记录维护维修过程。.3维护维修完成后，由专人确认设备状态并检查是否存在潜在风险，尤其需要注意是否有网络安全风险、数据安全风险等。.4外部维修人员对高风险设备开展现场维修，由医疗机构专人陪同。.5未经授权不得通过互联网远程连接到医疗设备开展远程监控及维护维修。如确需开展，经过医疗机构相关管理部门审批后，通过医疗机构控制的网络安全管理设备接入互联网，采用有效的运维管控措施，包括开设账号、分配权限、设置访问起止时间、登记备案并监控操作行为。.6维护维修过程中，原则上不得使用设备中的个人信息。如确需使用，取得管理部门同意，采取安全防范处理和监督措施后，方可使用。更新升级中的网络安全管理网络安全事件处置与记录.1遵循国家及医疗机构内部相关要求对网络安全事件进行处置与响应。.2对网络安全事件进行登记和管理，形成网络安全事件记录。记录包括事件发生时间、事件摘9.3.3网络安全检查可通过人工问询、设备检查、记录审阅、检测工且检测或通过有资质的第三方安全检测机构的安全检测与评估等方式，开展网络安全检查医疗设备使用与运维检查对医疗设备使用与运维进行网络安全检查，检查安全制度与要求的落实愤况。检查内容宜包括但不a)医疗设备专网接入及访问日志；b)医疗设备外职链路c)医疗设备安全配置；数据安全与个人信息保护检查对医疗设备使用与运维过程中涉及的数据安全与个人信总保护措施的落实情况进行安全检查。检查内容宜包括但不限于：b)数据传输与存储安全措施的实施c)数据访问控制是否遵循最小必要原则d)用户操作是否追溯到个人。9.3.4安全整改与加固a)对于网络安全检查发现的问题，及时采取安全整改与加固措施，包括管理层面，如制度、流程优b)安全整改与加固措施宜考虑回题产生的根因；d)核验安全整改与加固措施实施的有效性；9.4报废与处置9.4.1处置场景9.4.2处置方式设备停用后，进行安全检查，必要数据归档后，销毁数据。数据销毁在相关方见证下(如医疗设备管理部门、信息管理部门等),可采用物理销毁、消磁处数据销毁后，方可将报废医疗设备交由具备资质的处置单位进行统一处置。禁用设备相关账号，回收相关网络资源，并纳人设备安全台账。9.4.3销毁记录在设备安全台账中详细记录处置及销毁过程及相关信息，确保全过程可追溯。(规范性)联网医疗设备网络安全管理职责划分A.1部门职责医疗机构各部门应分工合作、明确职责：——医疗设备管理部门在设备全生命周期管理各环节组织督办落实安全管理要求并监督运维与A.2岗位职责——信息管理部门网络安全管理员，牵头制定联网医疗设备网络安全规划，审核联网医疗设备网络安全技术方案，指导并配合完成联网医疗设备的网络配置和安全部署，参与设备网络安全验收；定期组织对联网医疗设备的安全检查，跟进网络安全相关政策和安全事件，反馈指导设备管理部门排查和整改。——医疗设备管理部门宜设立联网医疗设备安全协调员，根据管理要求统筹落实联网医疗设备网络安全日常管理工作，组织定期培训；监督、落实安全任务；收集、汇总、分析各设备使用部门发现和上报的安全问题，并向部门负责人汇报；接受信息管理部门的安全指导，共同制定联网设备网络安全整改方案并督办检查整改成果。——医疗设备管理部门运维人员，负责所管理设备的系统管理员账号的保管及合规使用，完成安全和配置工作；监督外部人员对重要设备或高风险设备运维过程，并做好记录。——医疗管理部门宜指定专人负责联网医疗设备网络安全相关事宜(如权限管理、数据应用审批);设备使用科室宜设立本科室的联网医疗设备网络安全协调员(可由本科室设备保管人兼职),除承担设备常规管理工作外，宜明确网络安全职资，如组织本科室人员参加安全培训，收集使用中发现的网络安全问题及时上报到设备管理部门，配合落实安全检查及整改等。(资料性)联网医疗设备资产分级分类参考B.1联网医疗设备安全分级方法设备分级参照GB/T22240—2020进行，具体方法见B.1.1～B.1.4。B.1.1根据联网医疗设备网络安全被破坏时可能侵害的客体以及客体被侵害的程度，重点考虑以下因素：a)网络安全事件可能导致的患者人身安全和设备故障问题；b)医疗设备网络的攻击可能对医疗机构内部网络或系统的侵害；c)医疗数据泄露的危害。B.1.2依据表B.1可得到联网医疗设备安全等级。表B.1联网医疗设备安全分级矩阵表一般损害公民、法人和其他组织的合法权益国家安全B.1.3设备网络安全被破坏时所侵害的客体类型举例：a)公民、法人和其他组织的合法权益：设备，设备直接影响的患者，医疗机构内部网络、系统、数据等；b)社会秩序、公共利益：医疗机构提供的就诊服务。B.1.4对相应客体的侵害程度举例：a)一般损害：设备自身故障短时间无法正常运转，设备直接影响的患者服务短时间中断；b)严重损害：设备自身故障长时间无法正常运转，设备直接影响的患者人身安全受轻微影响，设备直接影响的患者数据遭泄露，医疗机构内部少数非核心网络与系统受影响，就诊服务局部中断；c)特别严重损害：设备损毁，设备直接影响的患者人身安全受重大影响(如人员伤亡),医疗机构内部多数或核心网络与系统受影响，大量医疗数据泄露，就诊服务全面中断。B.2设备数据分类原则设备数据宜参考如下原则进行分类：a)设备配置参数数据：医疗设备运行所需要配置的设备参数和联网运行所需要配置的网络通信参数等数据；b)设备运行状态数据：设备记录的运行过程状况、维护与升级操作等信息的数据(含日志),主要用于监测医疗设备运行，这类数据不包含个人信息和诊疗记录；(资料性)联网医疗设备网络安全能力声明示例表C.1基本信息问题回答(是/否/不适用)123设备型号4制造商联系信56是否有网络或数据流图可用于指示与其他系统组得或顶期外部资源的表C.2数据的管理回顾回答(是/否/不适用)1信息?确存储的时长、量、数量等信息2地数指?3交由医疗机构保)?明剑销毁方式的限制4设备是否可印包含个人信息的硬拷贝与报告?5据或个人信息?6设备是否通过专有协议传输接收数据?表C.3自动注销向题回答(是/否/不适用)工设备是否可以配置为在预定的非活动时间(例如2用户或管理员在自动注销/屏幕锁定之前的不活动时表C.4审核问题回答(是/否/不适用)1医疗设备是否可以创建标准操作系统日志之外的其表C.4审核(续)问题回答(是/否/不适用)2事件是否记录在审核日志中?如果是，请指示审核3所有者/操作员是否可以定义或选择在审计日志45678表C.5授权问题1设备是否有阻止未经授权的用户访问的能力?2的权限级别?3本地rot或管理员账户访风梯作系统或应用程序)?4设备是否授权或控制所有API访问请求5行?表C,6网络安全补丁升级问题1设备是否包含仕而在其运行生命周期内可能需要安全更新的软件或固2设备文档是否抛达所有者/操作员安装修补34设备是否执行软件更新的自动安装；56所有者/运营商能否自行在设备上安装制造商认7问题回答(是/否/不适用)1表C.8数据备份与灾难恢复问题回答(是/否/不适用)123456表C.9紧急访问问题回答(是/否/不适用)1表C.10数据完整性与真实性向题回答(是/否/不适用)1设备是否提供存储的健康数据的数据完整性检2设备是否为存储的健康数据(例如RAID-5)提表C.11恶意软件探测与防护向题回答(是/否/不适用)1设备是否支持使用防病毒软件(或其他反恶意供详细信息或参考。2设备是否使用应用程序白名单来限制允许在设3表C.12节点鉴别问题回答(是/否/不适用)1方彼此知道并有权接收传输的信息(例如WebAP2是否支持网络访问控制机制(例如设备是否具有内部防火墙，或使用网3向题回答(是/否/不适用)12制造商是否提供设备上已使用或可能使用的网络34设备能否与客户环境外部的其他系统(例如设567号和密码8表C.14人员鉴别问题回答(是/否/不适用)1密码?23设备是否配置为在一定次数的不成功登录尝试后锁定用户?45可以更改所有密码吗?6户密码?7设备是否支持设置账户密码过期?8设备是否支持多重身份验证?9设备是否支持单点登录(SSO)?是否可以在设备上禁用/锁定用户账户?设备是否支持生物识别(如指纹、人脸等)控制?设备是否支持物理令牌(例如U盾)?应用程序或设备是否存储或管理身份验证凭据?表C.15物理防护问题回答(是/否/不适用)1设备是否仅是软件?如果是，请对本节中的其余问题回答“不适用”。表C.15物理防护(续)问题回答(是/否/不适用)2全(即，在没有工具的情况下无法删除)?3定在单独键控锁定设备后面?4设备是否允许客户附加物理锁以限制对可移动媒介的访问?表C.16现成软件维护向题回答(是/否/不适用)1在产品开发过程中是否遵循了安全的软件开发过程?2开发实践?3制造商是否有管理第三方组件生命周期终止的计划?表C.17现成软件清单问题回各(/否/不适用〉备注12软件物料清单是否识别了软件组件?34表C.18系统加固问题回答(是否/不用)1设备是否按任何行业标准进行了加固?2设备是否获得了任何网给安全认证?3设备是否采用任何软件完整性检直机制45系统是否可配置以允许实施文件级、患者级或其他类型的访问控制?6在系统交付时，制造商是否对任何系统或用户账禁用?7是否禁用了设备预期用途不需要的所有共享资源(例如文件共享)?8是否禁用了设备预期用途不需要的所有通信端口和协议?9输协议[FTP]、互联网信息服务器[IIS]等)?向题回答(是/否/不适用)硬件?产品文档是否包含有关用户操作网络安全扫描的信息?设备是否可以在默认提供状态之外进行加固?系统是否可以在引导期间阻止访向BIOS或其他弘导加载程序?问题1设备是否包含所而者/运营商的安全文档?23是誉记录所有仿问账户?4产品是参包含有关设备的推荐补偿控制的交档?表C.20数据存储保密性与完鳖性问题1设备可以加密静态数据吗2否可以更改或配置加辔批阴?3数据存储在设备上的数据库中吗?4数扼是否存储在设备外部的数据库中?表C.21数据传输保密性问题回(是/否/不适用)123个人身份信息传输是否不受限制地传输到固定的45是否支持/实施安全传输方法(DICOM、HL7、IEEE表C.22数据传输完整性问题回答(是/否/不适用)12表C.23远程访问与控制问题回答(是/否/不适用)123设备是否具有任何其他远程访问功能(例如表C.24网络安全特征配置问题回答(是/否/不适用)1(资料性)设备安全台账登记内容参考d)是否具有远程组件和端口，远程设备类别、型号、保管人；h)接口清单：对接系统名称、传输方(规范性)联网医疗设备网络安全风险管理E.1风险分析与评估E.1.1风险分析方法E.1.1.1资产识别E.1.1.2威胁分析全面评估联网医疗设备内外部威胁。内部威胁如未知信息资产、操作失误、追规访问、恶意行为等，外部威胁如网络致击(黑客攻击、恶意软件人侵一分布式拒绝服务攻击等)数据泄露(因调洞导致的信息被窃取)。E.1.1.3脆弱性识别检测和识别联网医疗设备网络垦础设施、软件应用、安全策略与流程中的漏洞、应用程序脆弱性、网络配置错误，以及安全管理机的不完善之处等E.1.2风险平估方法依据风险分析梳理的资产，威胁与脆弱性等内容形成风险清单来收适当的方法与工具确定安全事险评估报告，识别不可接受的风险纳人风险管控。E.1.3分析评估节点宜在如下节点开展风脸分析评估：a)在新购置、新引人、更新或升级联网医疗设备前；b)在用设备与信息系统集成及接口发生变更时；c)发生重大网络安全事件后；d)定期(如每年)评估联网医疗设备的网络安全风险；e)国家及监管部门发布联网医疗设备风险指导意见时，进行针对性排查；f)定期(如每月、每季度)收集联网医疗设备网络安全风险态势与漏洞通报，开展专项排查。E.2风险管控E.2.1医疗机构应根据设备特性和风险评估报告，对于不可接受的风险制定针对性的防控措施。技术方面，可采取部署防火墙、VPN、堡垒机等措施，建立网络隔离、安全监控与预警机制。管理方面，可以在医疗设备采购合同或维保合同中增加安全网络条款等，以降低风险带来的影响。——对联网医疗设备网络安全事件进行分类分级。——制定不同级别类别事件的处置流程，明确各部门职责。——定期开展应急演练，规范应急演练记录。——根据法律法规政策、新增资产、业务调整等变化及时修订应急预案。E.2.3如落实防控措施后仍存在剩余风险，则应通过审批、记录并定期评估剩余风险并制定风险发生后的处置预案。(规范性)网络安全防护与数据安全要求F.1网络安全防护要求F.1.1安全物理环境部署在独立机房的联网医疗设备的物理环境安全考虑如下：a)对设备机房进行物理安全访问控制(如安装电子门禁系统),设置访问权限，防止未经授权的物理访问；b)在设备机房的敏感区域安装视频监控或警报系统。F.1.2安全通信网络a)根据医疗机构安全域规划，为有关医疗设备划分网络区城，宜分配静态IP地址并与MAC地址b)避免将医疗设备网络区域部署在医疗机构网络边界处，联网医疗设备网络区域与其他网络区域之间采取可靠的技术隔离手段(如防火墙);c)对支持无线方式的移动式联网医疗设备，进行严格网络管控，无线网络接人应设置身份鉴别机制，至少使用WPA2-PSK(统一口令)实现，宜使用WPA2-Enterprise(用户名/口令)实现；d)采用校验技术或密码技术保障联网医疗设备通信过程中有完整性保护需求的数据安全；e)采用密码技术保证联网医疗设备通信过程中有机密性保护需求的数据安全；f)联网医疗设备在接人医疗机构网络时具备可管理的唯一标识，实现联网医疗设备的网络准人控制。F.1.3安全区域边界医疗机构联网医疗设备的区域边界安全考虑如下。a)保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信：——对非授权联网医疗设备联入到内部网络的行为进行检查或限制；——对内部联网医疗设备非授权联出到外部网络的行为进行检查或限制。b)在网络边界或区域之间根据访问控制策略设置访问控制规则，对进出网络的数据流实现基于应用协议和应用内容的访问控制。c)宜部署入侵检测设备，发现或阻断网络安全风险行为，人侵检测设备宜支持对医疗专用协议(如d)在网络边界实现安全审计功能，能够对访问医疗设备的网络安全行为进行审计和分析，能对远程访问的用户行为单独进行行为审计和数据分析。e)医院信息系统访问医疗设备遵循最小必要原则，可采用设备接口访问授权控制、设备节点身份F.1.4安全计算环境a)对登录医疗设备的用户进行身份标识和鉴别，按照统一授权管理原则进行账户管理和权限分——按照授权分配，对注册用户合理分配账户和权限。b)限制与医疗设备预期用途无关网络端口、服务和协议的使用，并对设备端口、服务和协议等网络行为进行网络安全管控。c)在不影响医疗业务正常开展的条件下，选d)启用安全审计功能，对重要的用户行为和重要安全事件进行审计。e)需要数据加密保护的，使用的密码技F.1.5安全管理中心医疗机构根据联网医疗设备的网络安全管理需求和整体的网络安全规划，采取共享或独立的联网医疗设备网络安全管理中心进行设备的网络安全管理，安全考虑如下。a)实现对网络运行、网络边界、安全，准入等活动进行统一管理，实现边界防护、协议管控、设备准人、资产分城、网络运维日志审计等管理功能。b)未经授权不得通过互联网远程连接到医疗设备进行远程监控及维护维修。如确需开展，申请批准后，采取有效的运维管控措施，对联网医疗设备远程接人进行管控，实现账号管理、认证授权、监控和审计功能；未经审批授权不得通过互联网传输医疗设备产生的医疗数据。c)对设备产生的网络安全事件进行集中收集与管理，对网络异常行为进行分析及快速定位。e)联网设备宜使用统一时间源。F.2数据安全与个人信息保护要求F.2.1数据安全保护a)按GB/T43697,根据医疗设备数据在医疗机构业务应用中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对医疗机构、个人、以及相关组织合法权益造成的危害与风险程度，对医疗设备数据进行分类分级管理。b)针对不同风险级别的医疗设备数据，在数据全生命周期各个环节，根据实际情况采取相应的数据保护技术措施，包括但不限于身份鉴别技术、访问控制技术、数据加密技术、去标识化技术、匿名化技术、设备安全加固技术、网络管控技术、访问设备用户(包括访问设备的人员、连接设备的系统等)管控技术、日志审计技术等技术与手段：置参数数据、设备运行状态记录及医疗记录数据的假冒和——在数据销毁环节，对于符合规定且经审批可以销毁的数据，应用采用不可恢复原始数据的方式对数据执行销毁操作，数据销毁具体方式可参考。c)在数据全生命周期各个环节，加强数据处理的目志记录和行为审计，可对数据处理的时间、处理F.2.2个人信息保护按照GB/T35272要求开展个人信息保护工作，确保联网医疗设备收集信息限定在合理且必要的最a)敏感个人信息直采用加密、访问控制等技术手段保证个人信息的安全；(资料性)联网医疗设备安装验收相关评估样表G.1联网医疗设备安装网络安全资源确认联网医疗设备安装网络安全资源确认见表G.1。设备名称设备型号网络和接口资源网络布局尼一否口不适用口橙报子网赶否日不活用口是□否口不适用日出口数量及协议老四否口不适用口远世方回需求数据接口其他网络和接口资源(请在备注中列明)是口否□不适用口是口否口不适用访问控制是□否□不适用口是口否□不适用口其他(请在备注中列明)是口否□不适用口网络安全培训记录表见表G.2。表G.2医疗设备网络安全培训记录表使用科室：培训教师：厂家专业人员、医疗设备管理部门人员、信息管理部门人员监督科室：医疗设备管理部门、信息管理部门、运营部门设备名称：设备数量：设备品牌与产地；设备型号/序列号：培训地点：培训时间：培训内容(包括但不限于以下项目):1.医疗设备网络安全相关功能概述(厂家)□具备电子数据交换□远程访问与控制□用户访向2.医疗设备网络安全设置操作方法与流程(厂家)3.医疗设备网络安全维护方法与巡查要点(厂家)4.医疗设备网络安全的注意事项与风险点(厂