衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范

歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!歡迎閱讀本文檔，希望本文檔能對(duì)您有所幫助!衛(wèi)生部辦公廳2010年4月30日

衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系系列規(guī)范-衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范（試行）衛(wèi)生部辦公廳2010年4衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系系列規(guī)范-衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范（試行）

目錄TOC\f\h\z\t"前言、引言標(biāo)題,1,附錄標(biāo)識(shí),2,參考文獻(xiàn)、索引標(biāo)題,3,章標(biāo)題,4,附錄章標(biāo)題,5,一級(jí)條標(biāo)題,6,附錄一級(jí)條標(biāo)題,1"1范圍 12服務(wù)總體要求 12.1證書分類 12.2證書產(chǎn)品 12.3服務(wù)模式 12.4服務(wù)內(nèi)容 12.5平臺(tái)接入 23證書業(yè)務(wù)服務(wù) 23.1證書申請(qǐng) 23.2證書發(fā)放 23.3證書更新 23.4證書吊銷 23.5證書解鎖 23.6密鑰恢復(fù) 33.7證書查詢 34技術(shù)支持服務(wù) 34.1服務(wù)方式 34.2服務(wù)內(nèi)容 35服務(wù)的保障 45.1組織保障 45.2制度保障 45.3安全保障 4附錄(資料性附錄)名詞解釋 5范圍本規(guī)范依據(jù)《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法（試行）》，定義了參與衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系建設(shè)的管理方、使用方和提供方開展電子認(rèn)證服務(wù)的工作機(jī)制，描述了衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)的總體要求，規(guī)范了電子認(rèn)證服務(wù)機(jī)構(gòu)需要遵循的證書業(yè)務(wù)服務(wù)和證書支持服務(wù)的要求，提出了服務(wù)的保障要求。本規(guī)范適用于衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系建設(shè)的管理方、使用方和提供方。服務(wù)總體要求證書分類根據(jù)衛(wèi)生系統(tǒng)內(nèi)的用戶群體所處單位和擔(dān)任的職能不同，數(shù)字證書用戶包括衛(wèi)生系統(tǒng)內(nèi)部用戶和外部用戶。內(nèi)部用戶是指全國(guó)各級(jí)衛(wèi)生行政部門和各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)及其工作人員。外部用戶是指涉及衛(wèi)生業(yè)務(wù)的企事業(yè)單位和社會(huì)公眾。根據(jù)用戶特點(diǎn)及應(yīng)用需求，衛(wèi)生系統(tǒng)數(shù)字證書分為內(nèi)部用戶證書和外部用戶證書，共六類：內(nèi)部機(jī)構(gòu)證書是指為各級(jí)衛(wèi)生行政部門和各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)頒發(fā)的證書，代表衛(wèi)生機(jī)構(gòu)的身份。內(nèi)部工作人員證書是指為各級(jí)衛(wèi)生行政部門和各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)的工作人員頒發(fā)的證書，代表個(gè)人的身份。內(nèi)部設(shè)備證書是指各級(jí)衛(wèi)生信息系統(tǒng)使用的服務(wù)器證書或VPN設(shè)備證書等。外部機(jī)構(gòu)證書是指為涉及衛(wèi)生業(yè)務(wù)的企事業(yè)單位頒發(fā)的代表法人身份的證書。外部個(gè)人證書是指為涉及衛(wèi)生業(yè)務(wù)的社會(huì)公眾頒發(fā)的代表自然人身份的證書。外部設(shè)備證書是指涉及衛(wèi)生業(yè)務(wù)的外部用戶所使用的服務(wù)器身份證書或VPN設(shè)備證書等。證書產(chǎn)品電子認(rèn)證服務(wù)機(jī)構(gòu)交付給衛(wèi)生系統(tǒng)用戶的證書產(chǎn)品應(yīng)包括：證書介質(zhì)、證書初始保護(hù)口令、證書使用說(shuō)明書以及證書管理工具等，具體要求如下：電子認(rèn)證服務(wù)機(jī)構(gòu)采用的證書介質(zhì)應(yīng)符合《衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范》。證書介質(zhì)的質(zhì)保期限不少于1年。電子認(rèn)證服務(wù)機(jī)構(gòu)要確保所發(fā)放的用戶證書初始保護(hù)口令不同，并使用密碼涂層或打印密碼信封加以保護(hù)，用戶領(lǐng)取證書時(shí)密碼涂層或密碼信封應(yīng)完好無(wú)損。電子認(rèn)證服務(wù)機(jī)構(gòu)提供的證書使用說(shuō)明書應(yīng)明確告知用戶安裝、使用的方法和操作步驟。證書使用說(shuō)明書可采用紙質(zhì)材料，也可采用電子文件方式。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供具備證書密碼修改和證書信息查看等功能，用于安裝證書介質(zhì)驅(qū)動(dòng)和證書應(yīng)用接口的證書管理工具。服務(wù)模式針對(duì)證書分類，證書服務(wù)模式如下：集中服務(wù)模式：在衛(wèi)生系統(tǒng)內(nèi)部，針對(duì)證書用戶量不大的單位可采用集中服務(wù)模式，即在本單位設(shè)置證書管理員崗位，對(duì)本單位內(nèi)部用戶進(jìn)行集中受理，負(fù)責(zé)用戶資料收集和身份鑒別。多級(jí)服務(wù)模式：在衛(wèi)生系統(tǒng)內(nèi)部，針對(duì)證書用戶量大、用戶分布區(qū)域較廣的單位可采用多級(jí)服務(wù)模式，即設(shè)置多級(jí)證書管理員，分別負(fù)責(zé)本級(jí)用戶的資料收集及身份鑒別，以及下級(jí)單位信息的審核。認(rèn)證機(jī)構(gòu)直接服務(wù)模式：針對(duì)衛(wèi)生系統(tǒng)外部用戶，由第三方電子認(rèn)證服務(wù)機(jī)構(gòu)按照相關(guān)法律法規(guī)和運(yùn)行服務(wù)規(guī)范，直接為用戶提供電子認(rèn)證服務(wù)。服務(wù)內(nèi)容電子認(rèn)證服務(wù)機(jī)構(gòu)提供的服務(wù)包括證書業(yè)務(wù)服務(wù)和技術(shù)支持服務(wù)兩部分內(nèi)容。證書業(yè)務(wù)服務(wù)是指電子認(rèn)證服務(wù)機(jī)構(gòu)為衛(wèi)生系統(tǒng)用戶提供的證書申請(qǐng)、發(fā)放、更新、吊銷、解鎖、密鑰恢復(fù)、證書查詢等證書業(yè)務(wù)辦理服務(wù)。技術(shù)支持服務(wù)是指電子認(rèn)證服務(wù)機(jī)構(gòu)在用戶使用證書過程中，提供的各種方式的咨詢、培訓(xùn)、應(yīng)急等服務(wù)內(nèi)容。平臺(tái)接入電子認(rèn)證服務(wù)機(jī)構(gòu)在衛(wèi)生系統(tǒng)開展服務(wù)前，須接入衛(wèi)生部數(shù)字證書服務(wù)管理平臺(tái)，遵循衛(wèi)生系統(tǒng)數(shù)字證書服務(wù)管理平臺(tái)的數(shù)據(jù)同步接口要求，實(shí)現(xiàn)數(shù)字證書和黑名單的同步。證書業(yè)務(wù)服務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)結(jié)合衛(wèi)生系統(tǒng)外部用戶和內(nèi)部用戶的實(shí)際需求和具體情況，提供相應(yīng)的證書業(yè)務(wù)服務(wù)。本規(guī)范只針對(duì)面向內(nèi)部用戶的證書業(yè)務(wù)服務(wù)做出具體要求；面向外部用戶提供的證書業(yè)務(wù)服務(wù)內(nèi)容和標(biāo)準(zhǔn)，按照各電子認(rèn)證服務(wù)機(jī)構(gòu)在工業(yè)和信息化部備案的電子認(rèn)證業(yè)務(wù)規(guī)則（CPS）執(zhí)行。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)為衛(wèi)生系統(tǒng)用戶提供證書申請(qǐng)、證書發(fā)放、證書更新、證書吊銷、證書解鎖、密鑰恢復(fù)和證書查詢等證書業(yè)務(wù)服務(wù)。證書申請(qǐng)為確保證書申請(qǐng)者身份的真實(shí)性和有效性，負(fù)責(zé)證書集中管理的用戶單位應(yīng)設(shè)立證書管理員崗位，負(fù)責(zé)提交本單位用戶證書申請(qǐng)，具體包括:證書管理員按照約定的格式整理用戶申請(qǐng)信息，核實(shí)用戶申請(qǐng)信息的真實(shí)性。證書管理員將證書申請(qǐng)信息報(bào)送相關(guān)領(lǐng)導(dǎo)審批確認(rèn)。證書管理員通過證書服務(wù)平臺(tái)向電子認(rèn)證服務(wù)機(jī)構(gòu)提交證書申請(qǐng)信息。證書管理員須使用專用證書對(duì)所提交的證書申請(qǐng)信息實(shí)施電子簽名。證書發(fā)放電子認(rèn)證服務(wù)機(jī)構(gòu)在接收證書申請(qǐng)后，應(yīng)在五個(gè)工作日內(nèi)完成證書產(chǎn)品交付。集中服務(wù)模式下的證書發(fā)放流程如下：信息審核：電子認(rèn)證服務(wù)機(jī)構(gòu)審核用戶提交的證書申請(qǐng)信息；證書制作：電子認(rèn)證服務(wù)機(jī)構(gòu)根據(jù)通過審核的用戶證書申請(qǐng)信息制作證書，并將證書產(chǎn)品交付用戶單位的證書管理員；證書分發(fā)：用戶單位的證書管理員將證書產(chǎn)品分發(fā)給最終用戶。多級(jí)服務(wù)模式下證書發(fā)放流程與集中服務(wù)模式下的證書發(fā)放流程基本相同，僅增加了用戶單位上級(jí)審核環(huán)節(jié)。證書更新用戶證書即將到期時(shí)，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)為用戶重新簽發(fā)新的證書。證書更新流程如下：申請(qǐng)更新：電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)在證書到期前30天內(nèi)提醒用戶辦理證書更新業(yè)務(wù)。用戶單位的證書管理員為本單位用戶提交更新申請(qǐng)。確認(rèn)更新：電子認(rèn)證服務(wù)機(jī)構(gòu)在確認(rèn)更新申請(qǐng)后，授權(quán)并通知用戶下載新的證書。下載新證書：證書用戶通過證書服務(wù)平臺(tái)下載新證書。電子認(rèn)證服務(wù)機(jī)構(gòu)收到更新申請(qǐng)后，應(yīng)在二個(gè)工作日內(nèi)完成更新業(yè)務(wù)的確認(rèn)操作，并保證用戶可實(shí)時(shí)下載新證書。證書吊銷當(dāng)密鑰遺失、介質(zhì)損壞、證書信息變更、證書用戶證件失效時(shí)，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)將證書及時(shí)吊銷并更新黑名單（CRL）。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)在二個(gè)工作日內(nèi)完成吊銷業(yè)務(wù)的辦理，并實(shí)時(shí)更新黑名單（CRL），按照發(fā)布策略將黑名單發(fā)布到指定的衛(wèi)生信息系統(tǒng)。證書解鎖用戶遺忘證書保護(hù)口令，或多次輸入錯(cuò)誤的保護(hù)口令導(dǎo)致證書介質(zhì)鎖死時(shí)，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供證書解鎖服務(wù)，為用戶重新設(shè)置證書保護(hù)口令。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)在二個(gè)工作日內(nèi)完成解鎖服務(wù)。密鑰恢復(fù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供加密密鑰的恢復(fù)服務(wù)。電子認(rèn)證服務(wù)機(jī)構(gòu)在收到密鑰恢復(fù)申請(qǐng)后，應(yīng)在五個(gè)工作日內(nèi)完成密鑰恢復(fù)業(yè)務(wù)的辦理。司法取證需要進(jìn)行密鑰恢復(fù)時(shí)，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)按照國(guó)家有關(guān)規(guī)定的程序處理。證書查詢 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)為用戶和衛(wèi)生信息系統(tǒng)提供證書和黑名單的查詢與下載服務(wù)。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)保障證書信息安全，查詢和下載權(quán)限應(yīng)經(jīng)用戶管理單位審定。技術(shù)支持服務(wù) 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)向衛(wèi)生系統(tǒng)用戶通過熱線電話、網(wǎng)站、現(xiàn)場(chǎng)等服務(wù)方式，提供使用幫助、應(yīng)用咨詢培訓(xùn)、應(yīng)急保障和應(yīng)用集成支持等一系列技術(shù)支持服務(wù)。服務(wù)方式熱線電話方式電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)建立呼叫中心，通過熱線電話面向衛(wèi)生系統(tǒng)證書用戶提供所有與電子認(rèn)證服務(wù)有關(guān)的使用幫助服務(wù)。呼叫中心電話座席數(shù)應(yīng)不少于10個(gè)。呼叫中心熱線支持的服務(wù)時(shí)間為7*24小時(shí)。網(wǎng)站方式電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)在互聯(lián)網(wǎng)上建立客戶服務(wù)網(wǎng)站，面向全國(guó)衛(wèi)生系統(tǒng)證書用戶提供信息查詢、軟件下載、常見問題解答和證書業(yè)務(wù)辦理流程說(shuō)明等技術(shù)支持服務(wù)。客戶服務(wù)網(wǎng)站應(yīng)保障其自身安全性和服務(wù)穩(wěn)定性。現(xiàn)場(chǎng)方式根據(jù)用戶的實(shí)際需求，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供技術(shù)支持工程師上門現(xiàn)場(chǎng)為用戶處理數(shù)字證書應(yīng)用中存在的問題。服務(wù)內(nèi)容使用幫助服務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供解決用戶在數(shù)字證書的申請(qǐng)、更新和解鎖等環(huán)節(jié)中遇到的各類業(yè)務(wù)辦理問題，以及在證書登錄、證書加密和數(shù)字簽名等環(huán)節(jié)中遇到的各類證書應(yīng)用問題的幫助服務(wù)。咨詢培訓(xùn)服務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)對(duì)用戶單位提供證書集成方案咨詢，以及包括電子認(rèn)證服務(wù)相關(guān)政策法規(guī)、技術(shù)規(guī)范和電子認(rèn)證服務(wù)基礎(chǔ)性技術(shù)知識(shí)等電子認(rèn)證服務(wù)方面的培訓(xùn)。應(yīng)急保障服務(wù)在發(fā)生重大事件或特殊應(yīng)急事件時(shí)，電子認(rèn)證服務(wù)機(jī)構(gòu)根據(jù)用戶單位的要求而臨時(shí)提供的超越常規(guī)要求的應(yīng)急保障服務(wù)。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)制定應(yīng)急服務(wù)預(yù)案，建立應(yīng)急保障措施和應(yīng)急工作機(jī)制。在衛(wèi)生信息系統(tǒng)出現(xiàn)緊急事件或重大事件時(shí)，根據(jù)衛(wèi)生系統(tǒng)管理部門和用戶單位的要求，及時(shí)提供現(xiàn)場(chǎng)方式的應(yīng)急保障工作，確保緊急事件或重大事件中電子認(rèn)證服務(wù)的安全性、可靠性和有效性。應(yīng)用集成支持服務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)提供針對(duì)衛(wèi)生信息系統(tǒng)的電子認(rèn)證安全需求分析、電子認(rèn)證法律法規(guī)、技術(shù)體系的咨詢，設(shè)計(jì)滿足業(yè)務(wù)要求的電子認(rèn)證及電子簽名服務(wù)方案；應(yīng)提供面向多種應(yīng)用環(huán)境的證書應(yīng)用接口程序供應(yīng)用系統(tǒng)集成和調(diào)用。服務(wù)的保障組織保障電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)建立配套的人員體系，提供證書業(yè)務(wù)服務(wù)和技術(shù)支持服務(wù)。衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理方負(fù)責(zé)指導(dǎo)、推進(jìn)衛(wèi)生信息系統(tǒng)開展安全、規(guī)范的電子認(rèn)證服務(wù)應(yīng)用，并對(duì)各電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量及開展情況進(jìn)行定期檢查。制度保障電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)建立針對(duì)人員、物理環(huán)境、軟件系統(tǒng)和運(yùn)營(yíng)服務(wù)等制訂完善的管理制度，采取有效的運(yùn)行保障措施，從制度和流程上規(guī)范電子認(rèn)證服務(wù)。衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理方設(shè)立用戶投訴受理制度，受理用戶對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的投訴。安全保障電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)加強(qiáng)安全保障措施，保障用戶信息安全，承擔(dān)保密責(zé)任，避免敏感信息泄露；保障自身物理、網(wǎng)絡(luò)、系統(tǒng)及人員的安全可信；保障證書業(yè)務(wù)穩(wěn)定性和連續(xù)性；建立備份及審計(jì)機(jī)制，確