第一章 總則
第一條 為保障衛生信息系統安全,規範衛生系統電子認證服務體系建設,依據《中華人民共和國電子簽名法》和《電子認證服務管理辦法》(工業和信息化部令2009年第1號),結合衛生系統業務特點,制定本辦法。第二條 本辦法適用於在全國衛生系統範圍內管理、使用和提供電子認證服務的管理方、使用方和提供方。管理方包括衛生部和各省級衛生行政部門信息化工作領導小組;使用方包括全國各級衛生行政部門和各級各類醫療衛生機構及其工作人員、涉及衛生業務的企事業單位和社會公眾;提供方包括為衛生系統提供電子認證服務的電子認證服務機構。
第三條 本辦法所稱電子認證服務,是指電子認證服務機構按照衛生系統電子認證服務體系相關技術標準和服務規範,為使用方提供數字證書的頒發、更新、吊銷、密碼解鎖、密鑰恢復以及證書套用等服務,從而滿足衛生信息系統在身份認證、授權管理、責任認定等方面的信息安全需求。
第四條 堅持合法性原則、套用導向原則、市場競爭原則、一證多用原則,依託依法設立的第三方電子認證服務機構,按照“政府監管、企業承辦”的方式,建設衛生系統電子認證服務體系。
第五條 衛生部信息化工作領導小組負責全國衛生系統電子認證服務體系的建設和管理工作,負責組織制訂衛生系統電子認證服務相關技術標準和服務規範。各省級衛生行政部門信息化工作領導小組負責指導、推進本轄區衛生信息系統開展安全、規範的電子認證服務套用。
第二章 電子認證服務機構的管理
第六條 電子認證服務機構面向衛生系統提供電子認證服務應當具備以下必要條件:(一)取得工業和信息化部頒發的《電子認證服務許可證》;
(二)符合《電子政務電子認證體系建設總體規劃》(國密局聯字[2007]2號)中關於電子認證體系建設的相關要求;
(三)具有符合《衛生系統電子認證服務規範》、《衛生系統數字證書格式規範》、《衛生系統數字證書介質技術規範》、《衛生系統數字證書套用集成規範》和《衛生系統數字證書服務管理平台接入規範》等的電子認證服務體系;
(四)符合法律、行政法規規定的其他條件。
第七條 衛生部信息化工作領導小組辦公室負責選擇衛生部及其直屬單位的電子認證服務機構。各省級衛生行政部門信息化工作領導小組辦公室負責選擇本轄區的電子認證服務機構。
第八條 各省級衛生行政部門信息化工作領導小組辦公室選定電子認證服務機構後,應當將服務機構名單及其相關材料向衛生部信息化工作領導小組辦公室上報,並要求電子認證服務機構在開展服務前接入衛生部數字證書服務管理平台。
第九條 鼓勵各地衛生系統數字證書套用單位優先選擇已接入衛生部數字證書服務管理平台的電子認證服務機構提供服務。
第十條 衛生部信息化工作領導小組辦公室與各省級衛生行政部門信息化工作領導小組辦公室共同對各電子認證服務機構的服務質量及開展情況進行定期檢查。
第十一條 衛生部信息化工作領導小組辦公室通過數字證書服務管理平台收集、匯總電子認證服務機構面向衛生系統證書發放和服務質量反饋等信息,綜合掌握全國衛生系統電子認證服務的整體套用情況。
第三章 電子認證服務機構的服務要求
第十二條 電子認證服務機構應當按照《衛生系統電子認證服務規範》的要求,建立全面、規範、安全、高效的運行服務體系,並至少提供以下服務:(一)數字證書的頒發、更新、吊銷、密碼解鎖、密鑰恢復等服務;
(二)數字證書及黑名單的查詢與下載服務;
(三)為數字證書用戶提供套用支持服務;
(四)提供數字證書相關的培訓服務。
第十三條 電子認證服務機構應當妥善保存數字證書業務申請材料,並承擔保密責任,不得泄露或遺失,信息保存期至少為證書到期後5年。
第十四條 電子認證服務機構應當建立信息安全保障機制,針對相關資產、人員、物理環境和軟體系統等制訂安全策略及管理制度,採取有效的安全保障措施,並對安全策略的執行情況進行有效的監督檢查,確保運行服務安全可靠,滿足衛生信息系統業務連續性要求。
第四章 數字證書的套用管理
第十五條 凡涉及國家安全、社會穩定、公眾利益等方面的各類重要衛生信息系統,應當按照國家法律法規、信息安全等級保護制度等要求,採用電子認證服務,解決身份認證、授權管理、責任認定等安全問題,主要包括:(一)涉及公共衛生業務的信息系統;
(二)涉及醫療保健的醫療衛生信息系統;
(三)網上申報、年檢、備案、資質認定等行政審批信息系統;
(四)各類網上招標採購信息系統;
(五)其他重要衛生信息系統。
第十六條 使用電子認證服務的各類衛生信息系統,應當遵循《衛生系統數字證書套用集成規範》進行建設,實現數字證書的各項安全功能。
第十七條 納入衛生系統電子認證服務體系的電子認證服務機構,其頒發的數字證書應當能夠在各類衛生信息系統中進行註冊、授權及使用,確保實現互信互認、一證多用。
第十八條 數字證書使用單位應當加強證書管理,指導並要求證書持有人妥善保管數字證書介質。出現數字證書介質丟失或損壞等異常情況時,證書持有人應當立即聯繫電子認證服務機構進行妥善處理。
第十九條 數字證書原則上由信息系統建設單位統一採購配發並負責初次辦理費用,其年服務費用由使用單位負責;對於向社會提供服務的信息系統,其費用由服務申請者支付。
第二十條 多個衛生信息系統覆蓋相同用戶群體時,由衛生部和各省級衛生行政部門信息化工作領導小組辦公室協調各信息系統建設單位,分攤數字證書的初次辦理費用。
第五章 附則
第二十一條 各省級衛生行政部門信息化工作領導小組應當按照本辦法第六條要求,對本轄區已開展服務的電子認證服務機構進行評估。符合第六條各項條件的,方可接入衛生部數字證書服務管理平台並繼續開展服務;不符合第六條規定條件的,應當責令其進行整改,如1年內仍達不到相關要求的,應當終止其服務。第二十二條 已建成但尚未採用數字證書的重要衛生信息系統,應當儘快採用數字證書,實現身份認證、授權管理和責任認定;已經採用數字證書的重要衛生信息系統應當儘快按照本辦法的有關要求進行系統改造,納入衛生系統電子認證服務體系。
第二十三條 本辦法由衛生部信息化工作領導小組辦公室負責解釋。
第二十四條 本辦法自2010年1月1日起試行。