《衛(wèi)生系統(tǒng)電子認證服務管理辦法(試行)》
提供者:配置組
發(fā)布時間:2010/06/23 12:00

第一章 總 則

第一條  為保障衛(wèi)生信息系統(tǒng)安全,規(guī)范衛(wèi)生系統(tǒng)電子認證服務體系建設(shè),依據(jù)《中華人民共和國電子簽名法》和《電子認證服務管理辦法》(工業(yè)和信息化部令2009年第1號),結(jié)合衛(wèi)生系統(tǒng)業(yè)務特點,制定本辦法。
第二條  本辦法適用于在全國衛(wèi)生系統(tǒng)范圍內(nèi)管理、使用和提供電子認證服務的管理方、使用方和提供方。管理方包括衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組;使用方包括全國各級衛(wèi)生行政部門和各級各類醫(yī)療衛(wèi)生機構(gòu)及其工作人員、涉及衛(wèi)生業(yè)務的企事業(yè)單位和社會公眾;提供方包括為衛(wèi)生系統(tǒng)提供電子認證服務的電子認證服務機構(gòu)。
第三條  本辦法所稱電子認證服務,是指電子認證服務機構(gòu)按照衛(wèi)生系統(tǒng)電子認證服務體系相關(guān)技術(shù)標準和服務規(guī)范,為使用方提供數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復以及證書應用等服務,從而滿足衛(wèi)生信息系統(tǒng)在身份認證、授權(quán)管理、責任認定等方面的信息安全需求。
第四條  堅持合法性原則、應用導向原則、市場競爭原則、一證多用原則,依托依法設(shè)立的第三方電子認證服務機構(gòu),按照“政府監(jiān)管、企業(yè)承辦”的方式,建設(shè)衛(wèi)生系統(tǒng)電子認證服務體系。
第五條  衛(wèi)生部信息化工作領(lǐng)導小組負責全國衛(wèi)生系統(tǒng)電子認證服務體系的建設(shè)和管理工作,負責組織制訂衛(wèi)生系統(tǒng)電子認證服務相關(guān)技術(shù)標準和服務規(guī)范。各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責指導、推進本轄區(qū)衛(wèi)生信息系統(tǒng)開展安全、規(guī)范的電子認證服務應用。

第二章 電子認證服務機構(gòu)的管理

第六條  電子認證服務機構(gòu)面向衛(wèi)生系統(tǒng)提供電子認證服務應當具備以下必要條件:
(一) 取得工業(yè)和信息化部頒發(fā)的《電子認證服務許可證》;
(二) 符合《電子政務電子認證體系建設(shè)總體規(guī)劃》(國密局聯(lián)字〔2007〕2號)中關(guān)于電子認證體系建設(shè)的相關(guān)要求;
(三) 具有符合《衛(wèi)生系統(tǒng)電子認證服務規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書應用集成規(guī)范》和《衛(wèi)生系統(tǒng)數(shù)字證書服務管理平臺接入規(guī)范》等的電子認證服務體系;
(四) 符合法律、行政法規(guī)規(guī)定的其他條件。
第七條  衛(wèi)生部信息化工作領(lǐng)導小組辦公室負責選擇衛(wèi)生部及其直屬單位的電子認證服務機構(gòu)。各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組辦公室負責選擇本轄區(qū)的電子認證服務機構(gòu)。
第八條  各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組辦公室選定電子認證服務機構(gòu)后,應當將服務機構(gòu)名單及其相關(guān)材料向衛(wèi)生部信息化工作領(lǐng)導小組辦公室上報,并要求電子認證服務機構(gòu)在開展服務前接入衛(wèi)生部數(shù)字證書服務管理平臺。
第九條  鼓勵各地衛(wèi)生系統(tǒng)數(shù)字證書應用單位優(yōu)先選擇已接入衛(wèi)生部數(shù)字證書服務管理平臺的電子認證服務機構(gòu)提供服務。
第十條  衛(wèi)生部信息化工作領(lǐng)導小組辦公室與各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組辦公室共同對各電子認證服務機構(gòu)的服務質(zhì)量及開展情況進行定期檢查。
第十一條  衛(wèi)生部信息化工作領(lǐng)導小組辦公室通過數(shù)字證書服務管理平臺收集、匯總電子認證服務機構(gòu)面向衛(wèi)生系統(tǒng)證書發(fā)放和服務質(zhì)量反饋等信息,綜合掌握全國衛(wèi)生系統(tǒng)電子認證服務的整體應用情況。

第三章 電子認證服務機構(gòu)的服務要求

第十二條  電子認證服務機構(gòu)應當按照《衛(wèi)生系統(tǒng)電子認證服務規(guī)范》的要求,建立全面、規(guī)范、安全、高效的運行服務體系,并至少提供以下服務:
(一) 數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復等服務;
(二) 數(shù)字證書及黑名單的查詢與下載服務;
(三) 為數(shù)字證書用戶提供應用支持服務;
(四) 提供數(shù)字證書相關(guān)的培訓服務。
第十三條  電子認證服務機構(gòu)應當妥善保存數(shù)字證書業(yè)務申請材料,并承擔保密責任,不得泄露或遺失,信息保存期至少為證書到期后5年。
第十四條  電子認證服務機構(gòu)應當建立信息安全保障機制,針對相關(guān)資產(chǎn)、人員、物理環(huán)境和軟件系統(tǒng)等制訂安全策略及管理制度,采取有效的安全保障措施,并對安全策略的執(zhí)行情況進行有效的監(jiān)督檢查,確保運行服務安全可靠,滿足衛(wèi)生信息系統(tǒng)業(yè)務連續(xù)性要求。

第四章 數(shù)字證書的應用管理

第十五條  凡涉及國家安全、社會穩(wěn)定、公眾利益等方面的各類重要衛(wèi)生信息系統(tǒng),應當按照國家法律法規(guī)、信息安全等級保護制度等要求,采用電子認證服務,解決身份認證、授權(quán)管理、責任認定等安全問題,主要包括:
(一) 涉及公共衛(wèi)生業(yè)務的信息系統(tǒng);
(二) 涉及醫(yī)療保健的醫(yī)療衛(wèi)生信息系統(tǒng);
(三) 網(wǎng)上申報、年檢、備案、資質(zhì)認定等行政審批信息系統(tǒng);
(四) 各類網(wǎng)上招標采購信息系統(tǒng);
(五) 其他重要衛(wèi)生信息系統(tǒng)。
第十六條  使用電子認證服務的各類衛(wèi)生信息系統(tǒng),應當遵循《衛(wèi)生系統(tǒng)數(shù)字證書應用集成規(guī)范》進行建設(shè),實現(xiàn)數(shù)字證書的各項安全功能。
第十七條  納入衛(wèi)生系統(tǒng)電子認證服務體系的電子認證服務機構(gòu),其頒發(fā)的數(shù)字證書應當能夠在各類衛(wèi)生信息系統(tǒng)中進行注冊、授權(quán)及使用,確保實現(xiàn)互信互認、一證多用。
第十八條  數(shù)字證書使用單位應當加強證書管理,指導并要求證書持有人妥善保管數(shù)字證書介質(zhì)。出現(xiàn)數(shù)字證書介質(zhì)丟失或損壞等異常情況時,證書持有人應當立即聯(lián)系電子認證服務機構(gòu)進行妥善處理。
第十九條 數(shù)字證書原則上由信息系統(tǒng)建設(shè)單位統(tǒng)一采購配發(fā)并負責初次辦理費用,其年服務費用由使用單位負責;對于向社會提供服務的信息系統(tǒng),其費用由服務申請者支付。
第二十條 多個衛(wèi)生信息系統(tǒng)覆蓋相同用戶群體時,由衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組辦公室協(xié)調(diào)各信息系統(tǒng)建設(shè)單位,分攤數(shù)字證書的初次辦理費用。

第五章 附 則

第二十一條 各省級衛(wèi)生行政部門信息化工作領(lǐng)導小組應當按照本辦法第六條要求,對本轄區(qū)已開展服務的電子認證服務機構(gòu)進行評估。符合第六條各項條件的,方可接入衛(wèi)生部數(shù)字證書服務管理平臺并繼續(xù)開展服務;不符合第六條規(guī)定條件的,應當責令其進行整改,如1年內(nèi)仍達不到相關(guān)要求的,應當終止其服務。
第二十二條 已建成但尚未采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng),應當盡快采用數(shù)字證書,實現(xiàn)身份認證、授權(quán)管理和責任認定;已經(jīng)采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng)應當盡快按照本辦法的有關(guān)要求進行系統(tǒng)改造,納入衛(wèi)生系統(tǒng)電子認證服務體系。
第二十三條 本辦法由衛(wèi)生部信息化工作領(lǐng)導小組辦公室負責解釋。
第二十四條 本辦法自2010年1月1日起試行。