衛(wèi)生系統(tǒng)電子認證服務管理辦法(試行)

衛(wèi)生系統(tǒng)電子認證服務管理辦法（試 行)

第一章 總 則

　　第一條 為保障衛(wèi)生信息系統(tǒng)安全，規(guī)范衛(wèi)生系統(tǒng)電子認證服務體系建設，依據(jù)《中華人民共和國電子簽名法》和《電子認證服務管理辦法》（工業(yè)和信息化部令2009年第1號)，結合衛(wèi)生系統(tǒng)業(yè)務特點，制定本辦法。

第二條 本辦法適用于在全國衛(wèi)生系統(tǒng)范圍內管理、使用和提供電子認證服務的管理方、使用方和提供方。管理方包括衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領導小組；使用方包括全國各級衛(wèi)生行政部門和各級各類醫(yī)療衛(wèi)生機構及其工作人員、涉及衛(wèi)生業(yè)務的企事業(yè)單位和社會公眾；提供方包括為衛(wèi)生系統(tǒng)提供電子認證服務的電子認證服務機構。

第三條 本辦法所稱電子認證服務，是指電子認證服務機構按照衛(wèi)生系統(tǒng)電子認證服務體系相關技術標準和服務規(guī)范，為使用方提供數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復以及證書應用等服務，從而滿足衛(wèi)生信息系統(tǒng)在身份認證、授權管理、責任認定等方面的信息安全需求。

第四條 堅持合法性原則、應用導向原則、市場競爭原則、一證多用原則，依托依法設立的第三方電子認證服務機構，按照“政府監(jiān)管、企業(yè)承辦”的方式，建設衛(wèi)生系統(tǒng)電子認證服務體系。

第五條 衛(wèi)生部信息化工作領導小組負責全國衛(wèi)生系統(tǒng)電子認證服務體系的建設和管理工作，負責組織制訂衛(wèi)生系統(tǒng)電子認證服務相關技術標準和服務規(guī)范。各省級衛(wèi)生行政部門信息化工作領導小組負責指導、推進本轄區(qū)衛(wèi)生信息系統(tǒng)開展安全、規(guī)范的電子認證服務應用。

第二章 電子認證服務機構的管理

第六條 電子認證服務機構面向衛(wèi)生系統(tǒng)提供電子認證服務應當具備以下必要條件：

（一) 取得工業(yè)和信息化部頒發(fā)的《電子認證服務許可證》；

（二) 符合《電子政務電子認證體系建設總體規(guī)劃》（國密局聯(lián)字〔2007〕2號)中關于電子認證體系建設的相關要求；

（三) 具有符合《衛(wèi)生系統(tǒng)電子認證服務規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書介質技術規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書應用集成規(guī)范》和《衛(wèi)生系統(tǒng)數(shù)字證書服務管理平臺接入規(guī)范》等的電子認證服務體系；

（四) 符合法律、行政法規(guī)規(guī)定的其他條件。

第七條 衛(wèi)生部信息化工作領導小組辦公室負責選擇衛(wèi)生部及其直屬單位的電子認證服務機構。各省級衛(wèi)生行政部門信息化工作領導小組辦公室負責選擇本轄區(qū)的電子認證服務機構。

第八條 各省級衛(wèi)生行政部門信息化工作領導小組辦公室選定電子認證服務機構后，應當將服務機構名單及其相關材料向衛(wèi)生部信息化工作領導小組辦公室上報，并要求電子認證服務機構在開展服務前接入衛(wèi)生部數(shù)字證書服務管理平臺。

第九條 鼓勵各地衛(wèi)生系統(tǒng)數(shù)字證書應用單位優(yōu)先選擇已接入衛(wèi)生部數(shù)字證書服務管理平臺的電子認證服務機構提供服務。

第十條 衛(wèi)生部信息化工作領導小組辦公室與各省級衛(wèi)生行政部門信息化工作領導小組辦公室共同對各電子認證服務機構的服務質量及開展情況進行定期檢查。

第十一條 衛(wèi)生部信息化工作領導小組辦公室通過數(shù)字證書服務管理平臺收集、匯總電子認證服務機構面向衛(wèi)生系統(tǒng)證書發(fā)放和服務質量反饋等信息，綜合掌握全國衛(wèi)生系統(tǒng)電子認證服務的整體應用情況。

第三章 電子認證服務機構的服務要求

第十二條 電子認證服務機構應當按照《衛(wèi)生系統(tǒng)電子認證服務規(guī)范》的要求，建立全面、規(guī)范、安全、高效的運行服務體系，并至少提供以下服務：

（一) 數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復等服務；

（二) 數(shù)字證書及黑名單的查詢與下載服務；

（三) 為數(shù)字證書用戶提供應用支持服務；

（四) 提供數(shù)字證書相關的培訓服務。

第十三條 電子認證服務機構應當妥善保存數(shù)字證書業(yè)務申請材料，并承擔保密責任，不得泄露或遺失，信息保存期至少為證書到期后5年。

第十四條 電子認證服務機構應當建立信息安全保障機制，針對相關資產、人員、物理環(huán)境和軟件系統(tǒng)等制訂安全策略及管理制度，采取有效的安全保障措施，并對安全策略的執(zhí)行情況進行有效的監(jiān)督檢查，確保運行服務安全可靠，滿足衛(wèi)生信息系統(tǒng)業(yè)務連續(xù)性要求。

第四章 數(shù)字證書的應用管理

第十五條 凡涉及國家安全、社會穩(wěn)定、公眾利益等方面的各類重要衛(wèi)生信息系統(tǒng)，應當按照國家法律法規(guī)、信息安全等級保護制度等要求，采用電子認證服務，解決身份認證、授權管理、責任認定等安全問題，主要包括：

（一) 涉及公共衛(wèi)生業(yè)務的信息系統(tǒng)；

（二) 涉及醫(yī)療保健的醫(yī)療衛(wèi)生信息系統(tǒng)；

（三) 網上申報、年檢、備案、資質認定等行政審批信息系統(tǒng)；

（四) 各類網上招標采購信息系統(tǒng)；

（五) 其他重要衛(wèi)生信息系統(tǒng)。

第十六條 使用電子認證服務的各類衛(wèi)生信息系統(tǒng)，應當遵循《衛(wèi)生系統(tǒng)數(shù)字證書應用集成規(guī)范》進行建設，實現(xiàn)數(shù)字證書的各項安全功能。

第十七條 納入衛(wèi)生系統(tǒng)電子認證服務體系的電子認證服務機構，其頒發(fā)的數(shù)字證書應當能夠在各類衛(wèi)生信息系統(tǒng)中進行注冊、授權及使用，確保實現(xiàn)互信互認、一證多用。

第十八條 數(shù)字證書使用單位應當加強證書管理，指導并要求證書持有人妥善保管數(shù)字證書介質。出現(xiàn)數(shù)字證書介質丟失或損壞等異常情況時，證書持有人應當立即聯(lián)系電子認證服務機構進行妥善處理。

第十九條 數(shù)字證書原則上由信息系統(tǒng)建設單位統(tǒng)一采購配發(fā)并負責初次辦理費用，其年服務費用由使用單位負責；對于向社會提供服務的信息系統(tǒng)，其費用由服務申請者支付。

第二十條 多個衛(wèi)生信息系統(tǒng)覆蓋相同用戶群體時，由衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領導小組辦公室協(xié)調各信息系統(tǒng)建設單位，分攤數(shù)字證書的初次辦理費用。

第五章 附 則

第二十一條 各省級衛(wèi)生行政部門信息化工作領導小組應當按照本辦法第六條要求，對本轄區(qū)已開展服務的電子認證服務機構進行評估。符合第六條各項條件的，方可接入衛(wèi)生部數(shù)字證書服務管理平臺并繼續(xù)開展服務；不符合第六條規(guī)定條件的，應當責令其進行整改，如1年內仍達不到相關要求的，應當終止其服務。

第二十二條 已建成但尚未采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng)，應當盡快采用數(shù)字證書，實現(xiàn)身份認證、授權管理和責任認定；已經采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng)應當盡快按照本辦法的有關要求進行系統(tǒng)改造，納入衛(wèi)生系統(tǒng)電子認證服務體系。

第二十三條 本辦法由衛(wèi)生部信息化工作領導小組辦公室負責解釋。

第二十四條 本辦法自2010年1月1日起試行。