附件一：地方標(biāo)準(zhǔn)《數(shù)字化全病程健康管理：技術(shù)規(guī)范》征求意見稿

Q/LB.□XXXXX-XXXX目次TOC\o"1-1"\h前言 II1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14設(shè)計原則 15總體要求 26技術(shù)要求 37安全要求 4參考文獻(xiàn) 6前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本文件由湖南省工業(yè)和信息化廳提出。本文件由湖南省信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本文件起草單位：XXX、XXX、XXX。本文件主要起草人：XXX、XXX、XXX。數(shù)字化全病程健康管理：技術(shù)規(guī)范范圍本文件規(guī)定了數(shù)字化全病程健康管理系統(tǒng)的設(shè)計原則、總體要求、技術(shù)要求和安全要求。本文件適用于數(shù)字化全病程健康管理系統(tǒng)的開發(fā)、設(shè)計和應(yīng)用。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T25000.51系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價）（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細(xì)則GB/T28452信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求WS363（所有部分）衛(wèi)生信息數(shù)據(jù)元目錄WS364（所有部分）衛(wèi)生信息數(shù)據(jù)元值域代碼術(shù)語和定義本文件沒有需要界定的術(shù)語和定義。設(shè)計原則規(guī)范性數(shù)字化全病程健康管理系統(tǒng)應(yīng)按照信息系統(tǒng)等級保護(hù)三級（或以上）的要求進(jìn)行安全建設(shè)，安全設(shè)計應(yīng)遵循已頒布的相關(guān)國家標(biāo)準(zhǔn)。先進(jìn)性和適用性應(yīng)采用先進(jìn)的設(shè)計思想和方法，盡量采用國內(nèi)外先進(jìn)的技術(shù)。所采用的先進(jìn)技術(shù)應(yīng)符合實際情況，應(yīng)合理設(shè)置平臺功能、恰當(dāng)進(jìn)行數(shù)字化全病程健康管理系統(tǒng)配置和設(shè)備選型，保障其具有較高的性價比，滿足業(yè)務(wù)管理的需要?？蓴U(kuò)展性應(yīng)考慮通用性、靈活性，以便利用現(xiàn)有資源及應(yīng)用升級。開放性和兼容性對子系統(tǒng)的升級、擴(kuò)充、更新以及功能變化應(yīng)有較強(qiáng)的適應(yīng)能力。即當(dāng)這些因素發(fā)生變化時，子系統(tǒng)可以不做修改或少量修改就能在新環(huán)境下運行?？煽啃詰?yīng)確保數(shù)字化全病程健康管理系統(tǒng)的正常運行和數(shù)據(jù)傳輸?shù)恼_性，防止由內(nèi)在因素和硬件環(huán)境造成的錯誤和災(zāi)難性故障，確?；ヂ?lián)網(wǎng)醫(yī)院開發(fā)平臺可靠性。在保證關(guān)鍵技術(shù)實現(xiàn)的前提下，盡可能采用成熟產(chǎn)品和技術(shù)，保證數(shù)字化全病程健康管理系統(tǒng)的可用性、工程實施的簡便快捷。系統(tǒng)性應(yīng)綜合考慮數(shù)字化全病程健康管理系統(tǒng)的整體性、相關(guān)性，目的性、實用性和適應(yīng)性。另外，與業(yè)務(wù)系統(tǒng)的結(jié)合相對簡單且獨立。技術(shù)和管理相結(jié)合應(yīng)遵循技術(shù)和管理相結(jié)合的原則進(jìn)行設(shè)計和實施，數(shù)字化全病程健康管理系統(tǒng)采用的各種技術(shù)應(yīng)與運行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、規(guī)章制度建設(shè)相結(jié)合。從社會工程的角度綜合考慮，最大限度發(fā)揮人、物、技相結(jié)合的作用。總體要求數(shù)字化全病程健康管理系統(tǒng)架構(gòu)包括：架構(gòu)應(yīng)采用互聯(lián)網(wǎng)軟件開發(fā)技術(shù)，兼容PC端、移動端、嵌入式終端等多終端入口，前后端分離模式，多語言全應(yīng)用程序編程接口化開發(fā)；應(yīng)具有消息路由功能，可具有業(yè)務(wù)流程管理（BPM）、可支持醫(yī)院自動化業(yè)務(wù)流程編排和人工參與的工作流；架構(gòu)應(yīng)支持基于事件驅(qū)動（EDA）的消息傳輸機(jī)制，支持服務(wù)的發(fā)布與訂閱。數(shù)字化全病程健康管理系統(tǒng)管理功能包括：應(yīng)提供管理工具，能夠管理所有業(yè)務(wù)系統(tǒng)集成節(jié)點，監(jiān)控整個醫(yī)院平臺運行狀態(tài)；應(yīng)支持對信息庫訪問內(nèi)容的用戶授權(quán)及認(rèn)證，支持?jǐn)?shù)據(jù)防篡改及隱私數(shù)據(jù)保密，支持業(yè)務(wù)流程的追蹤與審計，支持日志的記錄與查看，支持消息可靠性傳遞及消息追蹤等；應(yīng)提供二次開發(fā)環(huán)境，提供基礎(chǔ)公共業(yè)務(wù)組件的封裝，并提供相應(yīng)的維護(hù)管理工具。數(shù)字化全病程健康管理系統(tǒng)交互信息應(yīng)支持WS363（所有部分）、WS364（所有部分）等國家頒布的相關(guān)衛(wèi)生數(shù)據(jù)標(biāo)準(zhǔn)，參考國際衛(wèi)生行業(yè)相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)。數(shù)字化全病程健康管理系統(tǒng)集成能力應(yīng)最大限度地復(fù)用現(xiàn)有應(yīng)用系統(tǒng)的業(yè)務(wù)功能，在選擇SOA技術(shù)標(biāo)準(zhǔn)規(guī)范時，平臺應(yīng)考慮現(xiàn)有業(yè)務(wù)功能封裝對技術(shù)標(biāo)準(zhǔn)規(guī)范的支持能力，基本要求包括：以微服務(wù)技術(shù)作為SOA服務(wù)開發(fā)技術(shù)的首選技術(shù)；基于微服務(wù)的安全管理應(yīng)遵循微服務(wù)服務(wù)規(guī)范中WS-Security規(guī)范，其他形式的服務(wù)也應(yīng)提供安全保障；可支持主流的衛(wèi)生信息交換國際標(biāo)準(zhǔn)和規(guī)范。數(shù)字化全病程健康管理系統(tǒng)穩(wěn)定性應(yīng)滿足年平均無故障時間應(yīng)達(dá)到200d以上。技術(shù)要求軟硬件應(yīng)擁有至少2套開展業(yè)務(wù)的音視頻通訊系統(tǒng)（含必要的軟件系統(tǒng)和硬件設(shè)備），并滿足：前置條件：支持注冊并完成實名認(rèn)證，可實現(xiàn)音視頻套餐，創(chuàng)建應(yīng)用并獲取SDKAPPID和秘鑰；集成音視頻SDK；音視頻存儲。最小接入系統(tǒng)數(shù)接入系統(tǒng)指接入數(shù)字化全病程健康管理系統(tǒng)的獨立應(yīng)用系統(tǒng)，具體要求包括：對二級醫(yī)院互聯(lián)網(wǎng)醫(yī)院開發(fā)平臺，允許最小接入系統(tǒng)數(shù)大于或等于3個；對三級醫(yī)院互聯(lián)網(wǎng)醫(yī)院開發(fā)平臺，允許最小接入系統(tǒng)數(shù)大于或等于6個。最小并發(fā)用戶數(shù)最小并發(fā)用戶數(shù)要求包括：對二級醫(yī)院基于互聯(lián)網(wǎng)醫(yī)院開發(fā)平臺的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于200；對三級醫(yī)院基于互聯(lián)網(wǎng)醫(yī)院拜發(fā)平臺的應(yīng)用系統(tǒng)，總的允許最小并發(fā)用戶數(shù)大于600?；A(chǔ)服務(wù)平均響應(yīng)時間基礎(chǔ)服務(wù)平均響應(yīng)時間要求包括：個人注冊服務(wù)調(diào)用單個患者注冊平均響應(yīng)時間小于1s。個人基本信息查詢總記錄50萬以上，按患者唯一標(biāo)識查詢單個患者查詢平均響應(yīng)時間小于2s；總記錄100萬以上，按患者唯一標(biāo)識查詢單個患者查詢平均響應(yīng)時間小于3s。基于人口統(tǒng)計學(xué)信息的患者信息匹配（基于索引）總記錄50萬以上，返回患者唯一標(biāo)識數(shù)據(jù)，返回記錄數(shù)小于10條時，平均響應(yīng)時間小于10s；總記錄100萬以上，返回記錄數(shù)小10條時，平均響應(yīng)時間小于15s。網(wǎng)絡(luò)接入應(yīng)具備高速率高可靠的網(wǎng)絡(luò)接入，業(yè)務(wù)使用的網(wǎng)絡(luò)帶寬不低于10Mbps，且至少由兩家寬帶網(wǎng)絡(luò)供應(yīng)商提供服務(wù)，有條件的互聯(lián)網(wǎng)醫(yī)院接入互聯(lián)網(wǎng)專線、虛擬專用網(wǎng)（VPN），保障醫(yī)療相關(guān)數(shù)據(jù)傳輸服務(wù)質(zhì)量。CA認(rèn)證可實現(xiàn)在數(shù)字化全病程健康管理系統(tǒng)安全通信提供電子認(rèn)證，應(yīng)包括關(guān)鍵數(shù)據(jù)、身份認(rèn)證、處方簽章。醫(yī)保支付可開發(fā)互聯(lián)網(wǎng)醫(yī)保支付通道，支持第三方支付接入。云計算應(yīng)確保與云服務(wù)商簽訂保密協(xié)議，明確云服務(wù)商的責(zé)任與權(quán)限，并規(guī)定服務(wù)合約到期時，完整提供互聯(lián)網(wǎng)醫(yī)院客戶數(shù)據(jù)，并承諾相關(guān)數(shù)據(jù)在云計算平臺上清除。應(yīng)在數(shù)字化全病程健康管理系統(tǒng)的虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則。當(dāng)遠(yuǎn)程管理云計算平臺中設(shè)備時，管理終端與云計算平臺之間應(yīng)建立雙向身份驗證機(jī)制。應(yīng)確保互聯(lián)網(wǎng)醫(yī)院相關(guān)數(shù)據(jù)存儲于公有云時，對醫(yī)療數(shù)據(jù)進(jìn)行加密處理。應(yīng)確?；ヂ?lián)網(wǎng)醫(yī)院所在云計算平臺支持部署密鑰管理解決方案，保證互聯(lián)網(wǎng)醫(yī)院運營主體自行實現(xiàn)數(shù)據(jù)的加解密過程。安全要求數(shù)字化全病程健康管理系統(tǒng)的整體安全應(yīng)符合GB/T22239和GB/T28452的規(guī)定，以安全技術(shù)、安全管理為要素進(jìn)行并符合：應(yīng)從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機(jī)安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全等層面實現(xiàn)安全技術(shù)類要求；應(yīng)從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、平臺建設(shè)管理和平臺運維管理等層面實現(xiàn)安全管理類要求。應(yīng)能檢測到數(shù)字化全病程健康管理系統(tǒng)管理數(shù)據(jù)、身份鑒別信息、電子病歷、電子支付等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞，并能夠采取必要的恢復(fù)措施。應(yīng)對身份鑒別信息、電子病歷、電子支付、電子處方等重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中對敏感信息字段進(jìn)行加密，數(shù)字化全病程健康管理系統(tǒng)應(yīng)支持基于標(biāo)準(zhǔn)的加密機(jī)制。宜采用PKI密碼技術(shù)或采用具有相當(dāng)安全性的其他安全機(jī)制實現(xiàn)。應(yīng)建立數(shù)據(jù)備份措施，建立備份管理制度，制定數(shù)據(jù)備份策略，對重要信息進(jìn)行備份以及對依據(jù)備份記錄進(jìn)行數(shù)據(jù)恢復(fù)，包括：定期采取手工備份方式對重要文件及保存在數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行備份；定期采取自動備份系統(tǒng)進(jìn)行應(yīng)用數(shù)據(jù)備份，管理員應(yīng)復(fù)核自動備份結(jié)果；關(guān)鍵存儲部件宜采用冗余磁盤陣列技術(shù)并支持失效部件的在線更換；對重要設(shè)備應(yīng)進(jìn)行冗余配置，以實現(xiàn)雙機(jī)熱備或冷備；數(shù)據(jù)庫服務(wù)器宜采用雙機(jī)冗余熱備方式，進(jìn)行定期在線維護(hù)，以縮短恢復(fù)所需時間；用戶可以通過備份記錄進(jìn)行數(shù)據(jù)恢復(fù)；在條件具備的情況下，應(yīng)在異地建立和維護(hù)重要數(shù)據(jù)的備份存儲系統(tǒng)，利用地理上的分離保障數(shù)字化全病程健康管理系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力；故障恢復(fù)前應(yīng)制定合理的恢復(fù)工作計劃以及故障恢復(fù)方案，數(shù)據(jù)恢復(fù)完成后應(yīng)檢測數(shù)據(jù)的完整性。客戶端應(yīng)用軟件，如互聯(lián)網(wǎng)醫(yī)院APP、微信公眾號或小程序等，應(yīng)符合安全代碼編寫規(guī)范，使用代碼安全防護(hù)手段（例如代碼加殼、代碼混淆、檢測調(diào)試器等）對客戶端應(yīng)用軟件進(jìn)行安全保護(hù)，使之具備一定的抗攻擊能力，防止重要信息泄露和非法獲取使用。具體要求如下：程序安全應(yīng)在客戶端應(yīng)用軟件安裝、更新時對自身的完整性和合法性進(jìn)行驗證；應(yīng)具備身份認(rèn)證控制和認(rèn)證失敗策略；應(yīng)采用兩種或兩種以上的要素對用戶身份進(jìn)行認(rèn)證；應(yīng)具備會話超時后要求重新鑒權(quán)的機(jī)制；應(yīng)配合服務(wù)端提供密碼復(fù)雜度校驗功能；應(yīng)具備抵御動態(tài)調(diào)試、反編譯、篡改、劫持、截屏、鍵盤竊聽、重放等抗攻擊能力；應(yīng)保證安裝文件中不包含任何冗余文件和冗余說明；應(yīng)保證安裝文件中不包含明文證書、密鑰、網(wǎng)絡(luò)配置等信息；應(yīng)避免使用存在已知漏洞的第三方組件；應(yīng)具備客戶端應(yīng)用軟件運行環(huán)境檢測能力。通信安全應(yīng)在客戶端應(yīng)用軟件與服務(wù)器之間建立安全的信息傳輸通道，協(xié)議版本應(yīng)及時更新至安全穩(wěn)定版本；客戶端應(yīng)用軟件與服務(wù)器應(yīng)進(jìn)行雙向認(rèn)證。數(shù)據(jù)安全應(yīng)保證登錄密碼、支付密碼及其他輸入的敏感信息，不以明文顯示；應(yīng)確保敏感數(shù)據(jù)在通過公共網(wǎng)絡(luò)傳輸時的完整性和保密性；應(yīng)采用自定義權(quán)限保護(hù)組件訪問；應(yīng)采取措施保護(hù)客戶端應(yīng)用軟件數(shù)據(jù)僅能被授權(quán)用戶或授權(quán)應(yīng)用組件訪問；應(yīng)保證在內(nèi)存、臨時文件、運行日志中不應(yīng)以明文形式存儲敏感數(shù)據(jù)；應(yīng)保證客戶端應(yīng)用軟件進(jìn)程被結(jié)束時、卸載后，不應(yīng)殘留敏感數(shù)據(jù)；應(yīng)支持頁面返回、進(jìn)入后臺后，自動清除已輸入的敏感信息；應(yīng)確保通過人機(jī)接或通信接自輸入的數(shù)據(jù)格式或長度等信息符合系統(tǒng)設(shè)定要求?？蛻舳藨?yīng)用軟件的運營機(jī)構(gòu)，應(yīng)接照《中華人民共和國網(wǎng)絡(luò)安全法》及GB/T25000.51的要求，加強(qiáng)客戶端應(yīng)用軟件自身的安全開發(fā)工作，在客戶端應(yīng)用軟件的版本更新過程中，始終遵循安全標(biāo)準(zhǔn)的要求，具體如下：應(yīng)加強(qiáng)客戶端應(yīng)用軟件的安全保障體系建設(shè)，建立客戶端應(yīng)用軟件的事前檢測、事中監(jiān)測、事后追溯的全生命周期管理；針對APP、微信公眾號、小程序、其它服務(wù)號等應(yīng)進(jìn)行主動、持續(xù)、動態(tài)的風(fēng)險業(yè)務(wù)識別、偵測和分析，達(dá)到風(fēng)險識別、預(yù)警、處置的風(fēng)控閉環(huán)控制，保證應(yīng)用在移動客戶端運行的安全性和合規(guī)性，全