“医保影像云”基础规范

2026-7-18 21:47| 发布者: 国正行| 查看: 41| 评论: 0

摘要: 本规范明确了医保影像云业务应用场景、建设要求、建设架构、技术要求及安全规范。适用于各级医保部门、定点医疗机构、健康类人工智能服务机构、第三方技术服务机构,以及健康传感器服务机构开展医保影像云相关业务。 ...


八、个人端技术要求

(一)服务方式

个人端可通过国家医保服务平台、二维码、网页链接、公众号、小程序、APP等多类入口查阅个人影像检查数据。该服务支持跨平台访问,可自适应手机、平板等终端设备,且兼容HarmonyOSiOSAndroid等主流操作系统。

(二)功能要求

个人端须具备影像检查数据的查看、分享等功能。

1.查阅功能:个人端须具备查阅参保人及亲情账户在就医省和外省影像检查报告、影像检查图像等功能。参保人查阅外省影像检查图像时,须由参保人发起申请,经就医省影像中心向外省发起调取并完成缓存后方可查阅。

2.分享功能:个人端须提供二维码、链接等多种分享途径,分享时可设置分享密码、有效期限、查看次数等权限参数。同时支持参保人查看分享记录(包括分享期限、查看次数、分享时间等信息)、撤销分享操作(撤销后对应的影像检查数据将无法访问7[7仅针对该分享途径(二维码、链接等)的访问权限限制])。

3.影像检查图像浏览:个人端须具备影像检查图像浏览工具,须包含“中国医疗保障”标识和“医保影像云索引”,其功能、样式、布局参考附录《影像检查图像浏览工具样式布局及功能要求》。

(三)性能要求

1.查阅速度:个人端在查阅 JPG/PNG 格式影像检查图像时,首幅图像完整显示响应时间须在 3 秒内;调阅 DICOM 格式影像检查图像时,在用户确认调阅操作后,首幅图像完整显示响应时间须在 5 秒内。

 

九、安全规范

医保影像云建设须通过国家信息安全等级保护第三级测评,

保障系统运行、存储、传输及个人信息安全。

(一)身份鉴别

医保影像云须满足如下要求:

1.对所有访问用户实施严格的身份核验机制,确保用户身份真实合规,防范非法访问风险;

2.严禁采用默认口令、弱口令等不安全身份验证方式。对于需采用身份鉴别的用户角色或场景,须启用多因素认证(MFA),可通过医保码、短信验证码、APP令牌、个人身份信息或生物特征(如刷脸)等方式完成二次身份校验。

(二)访问控制

医保影像云须满足如下要求:

1.依据“业务必需”和“最小权限”原则,为不同角色用户(如系统管理员、医疗机构管理员、医生、个人等)分配不同的数据访问和操作权限;

2.对影像检查数据、影像检查报告、个人身份信息等重要资源设置敏感标记,并基于安全策略严格控制相关操作。

(三)安全审计

医保影像云须满足如下要求:

1.具备完备的安全审计功能,对用户登录、数据上传、数据调阅等关键操作及异常事件进行全程日志记录;

2.审计记录须包括:操作时间、操作用户、事件类型、操作结果等核心要素,且需按规范定期备份,留存期限不得少于6个月;

3.安全审计日志须配置严格的访问控制策略,同时采用日志签名、转发至不可变存储日志中心等防篡改技术,保障日志的真实性、完整性,防止未经授权的访问、删除或修改行为。

(四)数据完整性

医保影像云须满足如下要求:

1.在数据传输与存储过程中,应采用哈希校验等技术确保完整性。所有通过公共网络或不安全网络传输的数据(包括API调用、网页访问、数据上传下载),须使用行业公认的安全协议进行加密;

2.在影像检查数据上传时须采用经济可行、安全可靠的加密方式进行加密防护,缓存时进行解密校验,严防数据非法篡改,保障数据全程可信;

3.具备存储数据完整性的自检和修复机制。

(五)个人信息保护

医保影像云须满足如下要求:

1.处理个人信息前,须依法取得个人同意,并通过隐私政策等合规形式,明确告知处理目的、方式、信息种类、保存期限、权利行使途径等;

2.遵循“目的明确、最小必要、公开告知、个人授权”原则,严格控制个人信息收集、存储、使用、共享;

3.对个人信息进行去标识化处理,加强访问控制管理;

4.严格区分数据使用场景:用于临床诊疗、医保支付等业务的数据,应按“最小必要”原则进行去标识化处理;用于人工智能训练、大数据分析、科学研究等二次利用的场景,须对个人信息进行不可逆匿名化处理,或依法取得个人同意。

(六)数据存储安全

医保影像云须满足如下要求:

1.影像检查数据的静态存储须采取加密措施;

2.前置机端的缓存数据,应在达到本规范规定的最短缓存期限后,按预设策略自动清理,避免敏感信息在临时环境长期滞留;

3.影像检查数据未经省级及以上医保主管部门批准,任何单位和个人不得挪作他用;

4.建立完善的数据备份与恢复机制,定期备份重要数据,确保数据损坏或丢失后可及时恢复;

5.建立安全的密钥管理机制,用于数据加解密的密钥须妥善存储、保护(例如使用硬件安全模块(HSM)或受信任的密钥管理服务(KMS)),且密钥的生命周期(生成、存储、分发、轮换、销毁)应严格遵照安全规范执行。

(七)网络安全防护

医保影像云须满足如下要求:

1.影像中心核心应用系统、数据存储系统与外部网络访问区域应进行严格的网络隔离,例如使用虚拟私有云(VPC)和安全组策略,仅开放业务必需的端口和服务;

2.部署网络防火墙和Web应用防火墙(WAF),对来自互联网的访问流量进行过滤和监测,防御常见的网络攻击(如SQL注入、XSSDDOS攻击等);

3.部署入侵检测系统(IDS)或入侵防御系统(IPS),对网络流量和主机行为进行实时监控,及时发现和阻断恶意渗透行为。

(八)API 安全

1.所有API接口必须进行严格的认证和授权。对API的调用应使用令牌(Token)、OAuth 2.0或同等级别的安全机制,确保每次调用的合法性。API授权应遵循“最小权限”原则;

2.须对API的调用频率进行限制(Rate Limiting)和并发控制,防止因滥用或恶意调用(如撞库、暴力破解)导致的服务拒绝(DoS)。

 



路过

雷人

握手

鲜花

鸡蛋

本站信息仅供参考,不能作为诊断医疗依据,所提供文字图片及视频等信息旨在参考交流,如有转载引用涉及到侵犯知识产权等相关问题,请第一时间联系我们及时处理!

在线客服|关于我们|移动客户端 | 手机版|电子书籍下载|中医启疾光网 ( 鄂ICP备20008850号|公安备案图标鄂公网安备42011102005941号 )

Powered by Discuz! X3.5© 2001-2026 Discuz! Team. zyqjg.com

中医网版权标识 - 弘扬中医文化,传承中华医学

返回顶部