第一章 總 則
第一條 為保障衛(wèi)生信息系統(tǒng)安全,規(guī)范衛(wèi)生系統(tǒng)電子認證服務(wù)體系建設(shè),依據(jù)《中華人民共和國電子簽名法》和《電子認證服務(wù)管理辦法》(工業(yè)和信息化部令2009年第1號),結(jié)合衛(wèi)生系統(tǒng)業(yè)務(wù)特點,制定本辦法。
第二條 本辦法適用于在全國衛(wèi)生系統(tǒng)范圍內(nèi)管理、使用和提供電子認證服務(wù)的管理方、使用方和提供方。管理方包括衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組;使用方包括全國各級衛(wèi)生行政部門和各級各類醫(yī)療衛(wèi)生機構(gòu)及其工作人員、涉及衛(wèi)生業(yè)務(wù)的企事業(yè)單位和社會公眾;提供方包括為衛(wèi)生系統(tǒng)提供電子認證服務(wù)的電子認證服務(wù)機構(gòu)。
第三條 本辦法所稱電子認證服務(wù),是指電子認證服務(wù)機構(gòu)按照衛(wèi)生系統(tǒng)電子認證服務(wù)體系相關(guān)技術(shù)標(biāo)準(zhǔn)和服務(wù)規(guī)范,為使用方提供數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復(fù)以及證書應(yīng)用等服務(wù),從而滿足衛(wèi)生信息系統(tǒng)在身份認證、授權(quán)管理、責(zé)任認定等方面的信息安全需求。
第四條 堅持合法性原則、應(yīng)用導(dǎo)向原則、市場競爭原則、一證多用原則,依托依法設(shè)立的第三方電子認證服務(wù)機構(gòu),按照“政府監(jiān)管、企業(yè)承辦”的方式,建設(shè)衛(wèi)生系統(tǒng)電子認證服務(wù)體系。
第五條 衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負責(zé)全國衛(wèi)生系統(tǒng)電子認證服務(wù)體系的建設(shè)和管理工作,負責(zé)組織制訂衛(wèi)生系統(tǒng)電子認證服務(wù)相關(guān)技術(shù)標(biāo)準(zhǔn)和服務(wù)規(guī)范。各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負責(zé)指導(dǎo)、推進本轄區(qū)衛(wèi)生信息系統(tǒng)開展安全、規(guī)范的電子認證服務(wù)應(yīng)用。
第二章 電子認證服務(wù)機構(gòu)的管理
第六條 電子認證服務(wù)機構(gòu)面向衛(wèi)生系統(tǒng)提供電子認證服務(wù)應(yīng)當(dāng)具備以下必要條件:
(一) 取得工業(yè)和信息化部頒發(fā)的《電子認證服務(wù)許可證》;
(二) 符合《電子政務(wù)電子認證體系建設(shè)總體規(guī)劃》(國密局聯(lián)字〔2007〕2號)中關(guān)于電子認證體系建設(shè)的相關(guān)要求;
(三) 具有符合《衛(wèi)生系統(tǒng)電子認證服務(wù)規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范》、《衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范》和《衛(wèi)生系統(tǒng)數(shù)字證書服務(wù)管理平臺接入規(guī)范》等的電子認證服務(wù)體系;
(四) 符合法律、行政法規(guī)規(guī)定的其他條件。
第七條 衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室負責(zé)選擇衛(wèi)生部及其直屬單位的電子認證服務(wù)機構(gòu)。各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室負責(zé)選擇本轄區(qū)的電子認證服務(wù)機構(gòu)。
第八條 各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室選定電子認證服務(wù)機構(gòu)后,應(yīng)當(dāng)將服務(wù)機構(gòu)名單及其相關(guān)材料向衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室上報,并要求電子認證服務(wù)機構(gòu)在開展服務(wù)前接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺。
第九條 鼓勵各地衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用單位優(yōu)先選擇已接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺的電子認證服務(wù)機構(gòu)提供服務(wù)。
第十條 衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室與各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室共同對各電子認證服務(wù)機構(gòu)的服務(wù)質(zhì)量及開展情況進行定期檢查。
第十一條 衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室通過數(shù)字證書服務(wù)管理平臺收集、匯總電子認證服務(wù)機構(gòu)面向衛(wèi)生系統(tǒng)證書發(fā)放和服務(wù)質(zhì)量反饋等信息,綜合掌握全國衛(wèi)生系統(tǒng)電子認證服務(wù)的整體應(yīng)用情況。
第三章 電子認證服務(wù)機構(gòu)的服務(wù)要求
第十二條 電子認證服務(wù)機構(gòu)應(yīng)當(dāng)按照《衛(wèi)生系統(tǒng)電子認證服務(wù)規(guī)范》的要求,建立全面、規(guī)范、安全、高效的運行服務(wù)體系,并至少提供以下服務(wù):
(一) 數(shù)字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復(fù)等服務(wù);
(二) 數(shù)字證書及黑名單的查詢與下載服務(wù);
(三) 為數(shù)字證書用戶提供應(yīng)用支持服務(wù);
(四) 提供數(shù)字證書相關(guān)的培訓(xùn)服務(wù)。
第十三條 電子認證服務(wù)機構(gòu)應(yīng)當(dāng)妥善保存數(shù)字證書業(yè)務(wù)申請材料,并承擔(dān)保密責(zé)任,不得泄露或遺失,信息保存期至少為證書到期后5年。
第十四條 電子認證服務(wù)機構(gòu)應(yīng)當(dāng)建立信息安全保障機制,針對相關(guān)資產(chǎn)、人員、物理環(huán)境和軟件系統(tǒng)等制訂安全策略及管理制度,采取有效的安全保障措施,并對安全策略的執(zhí)行情況進行有效的監(jiān)督檢查,確保運行服務(wù)安全可靠,滿足衛(wèi)生信息系統(tǒng)業(yè)務(wù)連續(xù)性要求。
第四章 數(shù)字證書的應(yīng)用管理
第十五條 凡涉及國家安全、社會穩(wěn)定、公眾利益等方面的各類重要衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)按照國家法律法規(guī)、信息安全等級保護制度等要求,采用電子認證服務(wù),解決身份認證、授權(quán)管理、責(zé)任認定等安全問題,主要包括:
(一) 涉及公共衛(wèi)生業(yè)務(wù)的信息系統(tǒng);
(二) 涉及醫(yī)療保健的醫(yī)療衛(wèi)生信息系統(tǒng);
(三) 網(wǎng)上申報、年檢、備案、資質(zhì)認定等行政審批信息系統(tǒng);
(四) 各類網(wǎng)上招標(biāo)采購信息系統(tǒng);
(五) 其他重要衛(wèi)生信息系統(tǒng)。
第十六條 使用電子認證服務(wù)的各類衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)遵循《衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范》進行建設(shè),實現(xiàn)數(shù)字證書的各項安全功能。
第十七條 納入衛(wèi)生系統(tǒng)電子認證服務(wù)體系的電子認證服務(wù)機構(gòu),其頒發(fā)的數(shù)字證書應(yīng)當(dāng)能夠在各類衛(wèi)生信息系統(tǒng)中進行注冊、授權(quán)及使用,確保實現(xiàn)互信互認、一證多用。
第十八條 數(shù)字證書使用單位應(yīng)當(dāng)加強證書管理,指導(dǎo)并要求證書持有人妥善保管數(shù)字證書介質(zhì)。出現(xiàn)數(shù)字證書介質(zhì)丟失或損壞等異常情況時,證書持有人應(yīng)當(dāng)立即聯(lián)系電子認證服務(wù)機構(gòu)進行妥善處理。
第十九條 數(shù)字證書原則上由信息系統(tǒng)建設(shè)單位統(tǒng)一采購配發(fā)并負責(zé)初次辦理費用,其年服務(wù)費用由使用單位負責(zé);對于向社會提供服務(wù)的信息系統(tǒng),其費用由服務(wù)申請者支付。
第二十條 多個衛(wèi)生信息系統(tǒng)覆蓋相同用戶群體時,由衛(wèi)生部和各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組辦公室協(xié)調(diào)各信息系統(tǒng)建設(shè)單位,分?jǐn)倲?shù)字證書的初次辦理費用。
第五章 附 則
第二十一條 各省級衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)按照本辦法第六條要求,對本轄區(qū)已開展服務(wù)的電子認證服務(wù)機構(gòu)進行評估。符合第六條各項條件的,方可接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺并繼續(xù)開展服務(wù);不符合第六條規(guī)定條件的,應(yīng)當(dāng)責(zé)令其進行整改,如1年內(nèi)仍達不到相關(guān)要求的,應(yīng)當(dāng)終止其服務(wù)。
第二十二條 已建成但尚未采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)盡快采用數(shù)字證書,實現(xiàn)身份認證、授權(quán)管理和責(zé)任認定;已經(jīng)采用數(shù)字證書的重要衛(wèi)生信息系統(tǒng)應(yīng)當(dāng)盡快按照本辦法的有關(guān)要求進行系統(tǒng)改造,納入衛(wèi)生系統(tǒng)電子認證服務(wù)體系。
第二十三條 本辦法由衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組辦公室負責(zé)解釋。
第二十四條 本辦法自2010年1月1日起試行。