總 則
為保障衛(wèi)生信息系統(tǒng)安全,規(guī)范衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系建設(shè),依據(jù)《中華人民共和國(guó)電子簽名法》和《電子認(rèn)證服務(wù)管理辦法》(工業(yè)和信息化部令2009年第1號(hào)),結(jié)合衛(wèi)生系統(tǒng)業(yè)務(wù)特點(diǎn),制定本辦法。
本辦法適用于在全國(guó)衛(wèi)生系統(tǒng)范圍內(nèi)管理、使用和提供電子認(rèn)證服務(wù)的管理方、使用方和提供方。管理方包括衛(wèi)生部和各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組;使用方包括全國(guó)各級(jí)衛(wèi)生行政部門和各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)及其工作人員、涉及衛(wèi)生業(yè)務(wù)的企事業(yè)單位和社會(huì)公眾;提供方包括為衛(wèi)生系統(tǒng)提供電子認(rèn)證服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)。
本辦法所稱電子認(rèn)證服務(wù),是指電子認(rèn)證服務(wù)機(jī)構(gòu)按照衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系相關(guān)技術(shù)標(biāo)準(zhǔn)和服務(wù)規(guī)范,為使用方提供數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復(fù)以及證書應(yīng)用等服務(wù),從而滿足衛(wèi)生信息系統(tǒng)在身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等方面的信息安全需求。
堅(jiān)持合法性原則、應(yīng)用導(dǎo)向原則、市場(chǎng)競(jìng)爭(zhēng)原則、一證多用原則,依托依法設(shè)立的第三方電子認(rèn)證服務(wù)機(jī)構(gòu),按照“政府監(jiān)管、企業(yè)承辦”的方式,建設(shè)衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系。
衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)全國(guó)衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系的建設(shè)和管理工作,負(fù)責(zé)組織制訂衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)相關(guān)技術(shù)標(biāo)準(zhǔn)和服務(wù)規(guī)范。各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)指導(dǎo)、推進(jìn)本轄區(qū)衛(wèi)生信息系統(tǒng)開展安全、規(guī)范的電子認(rèn)證服務(wù)應(yīng)用。
電子認(rèn)證服務(wù)機(jī)構(gòu)的管理
電子認(rèn)證服務(wù)機(jī)構(gòu)面向衛(wèi)生系統(tǒng)提供電子認(rèn)證服務(wù)應(yīng)當(dāng)具備以下必要條件:
取得工業(yè)和信息化部頒發(fā)的《電子認(rèn)證服務(wù)許可證》;
符合《電子政務(wù)電子認(rèn)證體系建設(shè)總體規(guī)劃》(國(guó)密局聯(lián)字〔2007〕2號(hào))中關(guān)于電子認(rèn)證體系建設(shè)的相關(guān)要求;
具有符合《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范》和《衛(wèi)生系統(tǒng)數(shù)字證書服務(wù)管理平臺(tái)接入規(guī)范》等的電子認(rèn)證服務(wù)體系;
符合法律、行政法規(guī)規(guī)定的其他條件。
衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)選擇衛(wèi)生部及其直屬單位的電子認(rèn)證服務(wù)機(jī)構(gòu)。各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)選擇本轄區(qū)的電子認(rèn)證服務(wù)機(jī)構(gòu)。
各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室選定電子認(rèn)證服務(wù)機(jī)構(gòu)后,應(yīng)當(dāng)將服務(wù)機(jī)構(gòu)名單及其相關(guān)材料向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室上報(bào),并要求電子認(rèn)證服務(wù)機(jī)構(gòu)在開展服務(wù)前接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺(tái)。
鼓勵(lì)各地衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用單位優(yōu)先選擇已接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺(tái)的電子認(rèn)證服務(wù)機(jī)構(gòu)提供服務(wù)。
衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室與各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室共同對(duì)各電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量及開展情況進(jìn)行定期檢查。
衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室通過(guò)數(shù)字證書服務(wù)管理平臺(tái)收集、匯總電子認(rèn)證服務(wù)機(jī)構(gòu)面向衛(wèi)生系統(tǒng)證書發(fā)放和服務(wù)質(zhì)量反饋等信息,綜合掌握全國(guó)衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)的整體應(yīng)用情況。
電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)要求
電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范》的要求,建立全面、規(guī)范、安全、高效的運(yùn)行服務(wù)體系,并至少提供以下服務(wù):
(一) 數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復(fù)等服務(wù);
(二) 數(shù)字證書及黑名單的查詢與下載服務(wù);
(三) 為數(shù)字證書用戶提供應(yīng)用支持服務(wù);
(四) 提供數(shù)字證書相關(guān)的培訓(xùn)服務(wù)。
電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)妥善保存數(shù)字證書業(yè)務(wù)申請(qǐng)材料,并承擔(dān)保密責(zé)任,不得泄露或遺失,信息保存期至少為證書到期后5年。
電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全保障機(jī)制,針對(duì)相關(guān)資產(chǎn)、人員、物理環(huán)境和軟件系統(tǒng)等制訂安全策略及管理制度,采取有效的安全保障措施,并對(duì)安全策略的執(zhí)行情況進(jìn)行有效的監(jiān)督檢查,確保運(yùn)行服務(wù)安全可靠,滿足衛(wèi)生信息系統(tǒng)業(yè)務(wù)連續(xù)性要求。
數(shù)字證書的應(yīng)用管理
凡涉及國(guó)家安全、社會(huì)穩(wěn)定、公眾利益等方面的各類重要衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)按照國(guó)家法律法規(guī)、信息安全等級(jí)保護(hù)制度等要求,采用電子認(rèn)證服務(wù),解決身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等安全問(wèn)題,主要包括:
涉及公共衛(wèi)生業(yè)務(wù)的信息系統(tǒng);
涉及醫(yī)療保健的醫(yī)療衛(wèi)生信息系統(tǒng);
網(wǎng)上申報(bào)、年檢、備案、資質(zhì)認(rèn)定等行政審批信息系統(tǒng);
各類網(wǎng)上招標(biāo)采購(gòu)信息系統(tǒng);
其他重要衛(wèi)生信息系統(tǒng)。
使用電子認(rèn)證服務(wù)的各類衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)遵循《衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范》進(jìn)行建設(shè),實(shí)現(xiàn)數(shù)字證書的各項(xiàng)安全功能。
納入衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系的電子認(rèn)證服務(wù)機(jī)構(gòu),其頒發(fā)的數(shù)字證書應(yīng)當(dāng)能夠在各類衛(wèi)生信息系統(tǒng)中進(jìn)行注冊(cè)、授權(quán)及使用,確保實(shí)現(xiàn)互信互認(rèn)、一證多用。
數(shù)字證書使用單位應(yīng)當(dāng)加強(qiáng)證書管理,指導(dǎo)并要求證書持有人妥善保管數(shù)字證書介質(zhì)。出現(xiàn)數(shù)字證書介質(zhì)丟失或損壞等異常情況時(shí),證書持有人應(yīng)當(dāng)立即聯(lián)系電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行妥善處理。
數(shù)字證書原則上由信息系統(tǒng)建設(shè)單位統(tǒng)一采購(gòu)配發(fā)并負(fù)責(zé)初次辦理費(fèi)用,其年服務(wù)費(fèi)用由使用單位負(fù)責(zé);對(duì)于向社會(huì)提供服務(wù)的信息系統(tǒng),其費(fèi)用由服務(wù)申請(qǐng)者支付。
多個(gè)衛(wèi)生信息系統(tǒng)覆蓋相同用戶群體時(shí),由衛(wèi)生部和各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室協(xié)調(diào)各信息系統(tǒng)建設(shè)單位,分?jǐn)倲?shù)字證書的初次辦理費(fèi)用。
附 則
各省級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)按照本辦法第六條要求,對(duì)本轄區(qū)已開展服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行評(píng)估。符合第六條各項(xiàng)條件的,方可接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺(tái)并繼續(xù)開展服務(wù);不符合第六條規(guī)定條件的,應(yīng)當(dāng)責(zé)令其進(jìn)行整改,如1年內(nèi)仍達(dá)不到相關(guān)要求的,應(yīng)當(dāng)終止其服務(wù)。
已建成但尚未采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)盡快采用數(shù)字證書,實(shí)現(xiàn)身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定;已經(jīng)采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng)應(yīng)當(dāng)盡快按照本辦法的有關(guān)要求進(jìn)行系統(tǒng)改造,納入衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系。
本辦法由衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)解釋。
本辦法自2010年1月1日起試行。