互联网医疗健康移动应用安全技术要求.pdf

xX/IXXXXX—XX00

互联网医疗健康移动应用安全技术要求

1范围

本文件规定了互联网医疗健康移动应用安全技术要求，主要包含升级安全、应用软件自身、鉴别机

制、访问控制、逻辑安全、密码算法及密钥要求、数据安全及运行安全要求

本文件适用于互联网医疗健康移动应用的开发、运营过程

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本(包括所有的修改单)适用于本

文件。

GB/T25069信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T37092-2018信息安全技术密码模块安全要求

GB/T41479-2022信息安全技术网络数据处理安全要求

JR/T0092-2019移动金融客户端应用软件安全管理规范

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

密码模块cryptographicmodule

实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。

注：密码根据其组成，可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块

4缩略语

下列缩略语适用于本文件。

APP移动终端应用(mobileAPPlication)

CNVD国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformation

Security)

CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabaso)

5概述

2

XX/TXXXXX—xxXX

医疗健康APP的安全技术要求由产品形态、功能类型决定。产品形态决定了其在安全性、可靠性等

方面的基本要求，包括升级安全、自身安全、鉴别机制、逻辑安全、密码算法和密钥、数据安全、运行

安全。产品形态主要分为传统应用、轻应用两种，传统应用是指能直接运行于Android和10S、鸿蒙操作

系统的应用程序，轻应用指的是H5应用、小程序、快应用。

医疗健康APP的功能类型决定了其在安全性、可靠性等方面的特殊要求，例如具备电商类功能的APP

需要保护用户的支付交易安全，具备健康管理功能的APP需要保护用户健康相关的个人隐私安全等。常

见的医疗健康APP可以分为在线寻医问诊类、预约挂号/导诊类、医药电商服务类、健康管理类型和垂

直小众类。

6安全技术要求

6.1概述

本文件依据医疗健康APP的产品形态、功能类型对其进行分类，并提出不同的安全技术要求，见表

1。

表1医疗健康APP安全技术要求表

在线寻医问诊预约挂号/导诊医药电商服务健康管理垂直小众

传统应用6.2、6.4.26.2、6.4.3、6.4.4、6.4.56.2、6.4.16.2、6.4.46.2

轻应用6.3、6.4.26.3、6.4.3、6.4.4、6.4.56.3、6.4.16.3、6.4.46.3

其中，所有传统应用应遵循6.2章节的安全技术要求，轻应用应遵循6.3章节安全技术要求。此外，

根据医疗健康APP功能分类不同，在线寻医问诊类应用还应遵循6.4.2章节的安全技术要求，预约挂号

导诊类应用还应遵循6.4.3、6.4.4、6.4.5章节的安全技术要求，医药电商服务类应用还应遵循6.4.1章

节的安全技术要求，健康管理类应用还应遵循6.4.4章节的安全技术要求。

6.2传统应用安全要求

6.2.1升级安全

具体要求包括：更新过程中，应采用安全机制保证升级的时效性(如自动升