健康信息學 公鑰基礎設施 第3部分：認證機構的策略管理 征求意見稿

GB/T21716.3—XXXX/ISO17090-3:20211健康信息學公鑰基礎設施3部分：認證機構的策略管理所需的的醫(yī)療保健安全策略的基本原則，以及專門針對醫(yī)療保健方面的安全要求的最小級別。本文件為在醫(yī)療保健過程中包括配置使用數字證書在內的證書管理問題提供了指GB/T21716.1健康信息學公鑰基礎設施第1部分：數字證書服務GB/Z21716.2健康信息學公鑰基礎設施第2部分：證書CertificationPracticesFramework（InternetX.509公鑰基礎結構證書informationsecurityconGB/T21716.1界定的術語和定義適用于本文4縮略語AA屬性機構attributeauthorityCA認證機構certificationauthoCP證書策略certificatepoCPS認證操作聲明certificationpracticestateCRL證書撤銷列表certificaPKC公鑰證書publickPKI公鑰基礎設施RA注冊機構registrationauthoGB/T21716.3—XXXX/ISO17090-3:20212TTP可信第三方t5醫(yī)療保健環(huán)境中數字證書策略管理要求業(yè)角色安全可靠地與之綁定。做這種綁定是為實現對這些健康信息進行基于角色的訪問控制應有相應的屬性安全可靠地與之綁定。做這種綁定是完成上述目標是為了保證個人健康信息的完整性和保密性，并達到信任的使用數字證書來安全地用于健康應用軟件所需的安全服務在GB/Z21716.1—2008中第6章有相關規(guī)定。對于其中每個安全），GB/Z21716.1—2008的第6章規(guī)定了健康應用軟件所需的安全服務。對于這些安全服務（鑒別、完），5.4高層的信任要求性），存儲或傳輸個人健康信息的醫(yī)療保健應用在交換患者的信息時還要求經本文件的目的是定義醫(yī)療保健數字證書部署的基本要素，以支持跨國家或地區(qū)邊界的醫(yī)療保健信GB/T21716.3—XXXX/ISO17090-3:20213GB/21716.1的9.2中描述了使用數字證書來促進健康信息跨國的安全交換的相關步驟。如果醫(yī)療保認證標準超出了本文件的范圍，對醫(yī)療保健CA的整個認證過程將通過格式的一致性和本文件提出的最當一個CA簽發(fā)了一個證書時，它給了可依賴方一個聲明表示已經給專門的證書持有者綁定了一個簽發(fā)用于醫(yī)療保健的電子證書的CA在他們所提供服務方面應有相應的政策和程序。這些政策和程a)在證書簽發(fā)前注冊潛在的證書持有者，包括符合GB/Z21716.2—2008第6章的證書持有者角b)在證書簽發(fā)前鑒別潛在證書持有者的身份；c)證書簽發(fā)出去后，對證書的持有者的個人信息保密；d)把證書分發(fā)給證書持有者和有關名e)接受關于可能出現的私有密鑰協(xié)議的信g)其他的密鑰管理問題，包括密鑰長度、個用于特定目標的證書是否可信。其中注冊過程遵循相關ISO/IEC和ITU標準所規(guī)定的程序。注冊OID的因為在PKC中建立信任時CP的重要性，所以CP不僅能被證書持有者也能基本的要求。因此，證書持有者和可依賴方在證書簽發(fā)后應能完全而可靠的訪問到其CP。a)每個符合本部分規(guī)定的電子證書簽發(fā)時，應GB/T21716.3—XXXX/ISO17090-3:20214雖然CP和CPS文檔的本質是描述和控制CP及其實施，但是許多數字證書持有者特別是此目的所需的重點、公示和PKI公示聲明模型在本部分的CPS是對準確實施所提供的服務、證書生命周期管理詳細過程等細節(jié)的完整描述，它一般比相關的c)所帶CPS不完全相同的CA可以支持相同的CP；CP聲明了在一個證書中放置了何種擔保（包括證書使用上的限制以及可靠性的限制范圍等）。CPS聲明了CA是如何建立該擔保的。CP可廣泛應用到不止一個機構上，而CPS只能應用于單個CA。CP作為一種媒介提供服務，它形成了普通互操作標準和6.4適用性本部分適用于CP和CPS用在GB/Z21716.2—20符合本部分規(guī)范的CP應滿足本章中的以下所有要求。本章中各節(jié)標題下括號中的數字對應的是7.2發(fā)布和存儲責任保留在RA或CA存儲庫中關于證書持有者的a)保持當前日期并更新日期（變化被驗證的一天之內甚至更早，根據具體情況而定）；b)按照GB/T19716—2005的GB/T21716.3—XXXX/ISO17090-3:20215被CA授權的代表電子簽名的CP文件的電子拷貝應可由下列情況a)放在所有可依賴方都可訪問的網址上；由于CPS詳細描述了一個CA服務和密鑰生命周期管理7.3標識和鑒別證書的有效使用要求證書上出現的相對專有名稱能夠被依賴方理解和使用。這些證書中使用的名），證書中列出的主體識別名對于CA的不同證書持有者都應是無歧義的和唯如有可能，建議該序列號是有含義的（如正規(guī)健康專業(yè)人員的執(zhí)照號）。參見本文件的7.3GB/T21716.3—XXXX/ISO17090-3:20216CA不應在明知商標不屬于證書的的主題范圍的情況下發(fā)布包含該商標的證書。包括正規(guī)健康專業(yè)人員、非正規(guī)健康專業(yè)人員、受委托醫(yī)療保健提供者、支持組織雇員以及患者/消費者在內的個人應在發(fā)行證書前向RA鑒別其身份。本文件建議應提供與簽發(fā)護照給個人時所需的相RA提供由其委托健康組織或委托（正規(guī)）健康專業(yè)人員給互操作的準則應符合IETF/RFC36472003GB/T21716.3—XXXX/ISO17090-3:20217應基于在創(chuàng)建時原始記錄所用的原始文件來實施CA證書的日常重建密鑰或重新發(fā)布證書。證書持有者信息的日常重建密鑰或重新發(fā)布證書應通過回溯創(chuàng)建原始記錄時使用的原始文件或記c)用其私鑰對該請求進行簽名，加密該消息并將其發(fā)送給GB/T21716.3—XXXX/ISO17090-3:20218如果包含私鑰的令牌出現丟失或被盜（并且該證書持有者因此而不能發(fā)起經過數字簽名的撤銷請求），該撤銷請求應附有最初用于包含該證書的7,4證書生命周期操作請求為了保證證書及其中包含的公鑰的真實性和完整性，證書持有者應讓可信的發(fā)起者來創(chuàng)建他們的者信息傳遞給CA。同樣，應授信RA以準確、及時的方式把證書撤銷請求傳遞給Cc)安全地傳輸和存儲證書申請信息以及注冊記錄；在配置了數字證書的醫(yī)療保健中的證書持有者，應接受證書并保證在證書申請中所表達信息的準GB/T21716.3—XXXX/ISO17090-3:20219建議CA規(guī)定一個證書持有者在證書簽發(fā)處理開始后必須完成密鑰激活過程的最長當具有證書持有者識別名的證書被簽發(fā)時，進行證書簽發(fā)的CCA給其他實體的簽發(fā)證書通知的準則應符合IETFd)在醫(yī)療保健組織中，對于證書信息、角色或狀態(tài)的任何修改，都應通知RA和/或CA；GB/T21716.3—XXXX/ISO17090-3:2021建議醫(yī)療保健數字證書的證書持有者還能證明其接受了適用于使用證書的健康信息功能的安全培b)此種信賴是合理的，且在信賴時是忠c)可依賴方通過檢查證書沒有被撤銷或被暫停來確認該證書當前的有效性；a)如果證書中的相關主題信息不再正確；b)如果證書持有者的組織關系改變，例如一個正規(guī)健如果意識到證書中的主題信息不正確，證書持有者、RA以及委托方有責7.4.8.4通知證書持有者有關修改GB/T21716.3—XXXX/ISO17090-3:2021CA通知其他實體有關修改證書的事宜時應符合7.4.4.3中的假設一個正規(guī)健康專業(yè)人員因為行為不當而被暫停工作，此時RA正好是其一個健康專業(yè)注冊組織或發(fā)d)證書持有者的組織關系發(fā)生改變，e)由于不符合本策略和/或任何可用的CP如果意識到證書中的主題信息不正確，證書持有者、RA以及委托方有責a)確認該請求撤銷的實體是該要求被撤銷的證書中所列的證書持有者；b)如果請求者是該證書持有者的代理，則該請求者有足夠的權力進行撤銷請求；GB/T21716.3—XXXX/ISO17090-3:2021性將得到驗證。也有可能使用確認的權威機構或外界供應的目錄而不是簽發(fā)方7.4.9.12鑒于密鑰安全受到威脅時的在CA簽發(fā)密鑰時受到安全威脅的情況下，CA應立即將情況通知給共同簽發(fā)交叉證書或從屬CA證書GB/T21716.3—XXXX/ISO17090-3:2021a)懷疑私鑰的安全受到威脅，此時在調查過程中暫停在CA支持暫停的地方，證書的暫停應由下列一個或多個來提出請a)證書簽發(fā)時使用的是其名稱的證書持有者；運行特征的準則應符合IETF/RFC36472003中4.10GB/T21716.3—XXXX/ISO17090-3:2021物理、程序和人員上的安全控制應符合ISO/IEC27002（或其等效標準）的規(guī)定，或者應按照ISO/IEC27002的規(guī)定以及遵循當地法律、法規(guī)的要求對記錄進行存檔，并采取相應措施保知道證書是如何以及為而產生的這在將來可能會很重要。醫(yī)療保健RA或它們的CA對于創(chuàng)建或撤銷GB/T21716.3—XXXX/ISO17090-3:2021如果CA停止運營，它應在運營終止后立即通知其證書持有人，并安排最終發(fā)布CRL并繼續(xù)保留CA的在將CA的運營轉移給在較低保證水平上運營的另一家CA的情況下，被轉移運營的CA發(fā)行的證書應7.6技術方面的安全控制如果私人才能解譯的密鑰不是由預期的證書持有者自己產生的，則它將既可以以符合IETF/RFC2511標準規(guī)定的在線處理的形式分發(fā)給該證書持有者CA或可信第三方的密鑰產生實體在其交付原始私鑰時應能夠證明在此過程中沒有該私鑰的任何拷如果公共可解譯的密鑰不是有CA產生的，則它將既可以以符合IETF/RFC4211規(guī)定的在線處理的形GB/T21716.3—XXXX/ISO17090-3:20217.6.1.7按照X.509V3（密鑰使用域并不交叉驗證時（如一個小型醫(yī)院只要證書策略允許那么滿足level2的要求就可以了。如果要活動國際組織間的信任，則該CA應達到level3或其他證書應達到USFIPS140-2中l(wèi)evel1（或其等效標準）加密模塊工程控制應符合ISO/IEC27002（或其等效標準）的規(guī)定，或者符合其他經認可的規(guī)范或用于鑒別或數字簽名的私鑰應不能被第三方保存，除非法律上有特殊GB/T21716.3—XXXX/ISO17090-3:2021私有鑒別或數字簽名密鑰應在證書持有者的完全控制下被備份。應按照經過鑒別的程序來進行備密鑰透露給非正規(guī)健康專業(yè)人員或支持組織雇員的雇主7.6.2.7從加密模塊中轉出密鑰以及密鑰轉如果私有解密密鑰不是在實體的加密模塊中生成的，則它應按照IETF/RFC2511的規(guī)定（或經由同如果私有解密密鑰不是在實體的加密模塊中生成的，則它應按照IETF/RFC4211的規(guī)定（或經由同空間被釋放給操作系統(tǒng)前被重寫。加密模塊應在密鑰的不活動預置期后自動當一個密鑰不再使用時，在計算機內存以及共享磁盤空間中該密鑰的所有備份應通過多次重寫來GB/T21716.3—XXXX/ISO17090-3:2021應與可信第三方一起對公鑰證書和CRL進行存檔以便允許將來對簽名進行驗證。CA應負責確保公鑰非CA的公鑰和私鑰使用應不超過3年，過了該期限后應發(fā)行新的密鑰對。屬性證書可以有較短的有CA應確保其用于證書簽發(fā)的私鑰只能用于簽發(fā)證書或簽發(fā)證書撤銷列表。CA應確保簽發(fā)給其工作計算機安全控制應符合ISO/IEC27002（或其等效標準）的規(guī)定，或者符合其他經認可的a)IETF/RFC3647,6.5.1指定的計生命周期技術控制應符合ISO/IEC27002（或其等效標準）的規(guī)定，或者符合其他GB/T21716.3—XXXX/ISO17090-3:2021網絡安全控制應符合ISO/IEC27002（或其等效標符合性審計是許多數字簽名互操作模型的一個基本構件（例如可參CA依照醫(yī)療保健CP發(fā)行的證書應使所有可依賴方都確信該證書完全符合該策略的要求。CA符合性審計員應屬于一個與CA分離的組織而完全獨立于被審計方。審計員應不牽涉到被審計方的任何經GB/T21716.3—XXXX/ISO17090-3:2021當CA的認可團體（此處這種認可處于涉及CA運作的權限范圍內）判定一個CA不能一個CA不能成功遵守CPS的重要元素（這些元素被認為時擔保程序的一部分）時，應被歸為主要失敗。例如，某一CA的識別沒有包含足夠的業(yè)務連續(xù)性措施應被歸為主要如果同時有更多的事件影響該CA或者該CA沒能在幾天內糾正該符合性問題，則應強制將該問題擴如果又發(fā)現更多的此類失敗或者該CA沒有在30日內糾正這些符合性問題，則應強制將該問題擴大樣的失敗應歸為次要失敗。例如，管理上的失誤（如記賬不正確）應歸為次要失敗。如果發(fā)現了更多的本來失敗或者該CA在下一次安排的審計之前還未糾正該符合性問題，則應強制7.9其他業(yè)務和法律問題GB/T21716.3—XXXX/ISO17090-3:2021a)證書持有者的個人信息以及注冊權威機構收集的用于標識目的個人信息，但不包括證書本身GB/T21716.3—XXXX/ISO17090-3:20217.9.4.7其他發(fā)布信息的環(huán)境－在證書持有者的在沒有來自證書持有者手寫授權書的情況下，保密信息只有根據在CA或RA所在國家的法律下根據7.9.6.2所列情況中的擴展責任是醫(yī)療保健的各領域中CA運作的整個策略的一部分。這些領域都服從于國家法規(guī)和國際協(xié)議。因此產生了對CA責任和RA責任的需求。屬性機構責任CA應給每個證書持有者提供關于該持有者在該CP下的權利和責任的通知書。該通知書可以是證書持有者協(xié)議的形式，且應包含該證書的使用說明、關于密鑰保護和用于證書持有者與CA或LRA之間通信處理可疑密鑰安全威脅、重新申請證書或密鑰、取消服務以及解決爭議的各a)CA應對密鑰分發(fā)過程中私鑰所受b)CA應對帶有相關數字簽名的個人身份與其他認可信息之間的錯誤綁定負責，除非它能證實附GB/T21716.3—XXXX/ISO17090-3:2021a)RA應對帶有相關數字簽名的個人身份與其他認可信息之間的錯誤綁定負責，除非它能證實附a)確保在證書申請中表述的準確性，以及通過接d)對于任何實際的或可疑的遺失、泄密或其他對其私鑰的安全威脅都立即通報給CA和/或RA；e)對于證書信息、在醫(yī)療保健組織中的角色或狀態(tài)發(fā)生了任何改變都通報給CA和/或RA；a)該證書的使用目的正好是在本策略之下的；b)該依賴是合理的，且在依賴時所誠實b)一個CA可以在證書持有者生成的密鑰方面沒有責任，除非該GB/T21716.3—XXXX/ISO17090-3:2021用于醫(yī)療保健的證書持有者的責任可限制在就證書持有者而言的疏期限和終止應符合IETF/RFC3647200在對CP進行任何改動之前，該CA的管理團體應OID必須被修改的環(huán)境應符合IETF/RFGB/T21716.3—XXXX/ISO17090-3:2021在醫(yī)療保健中配置數字證書應遵守本地法律以及國際法的要求并符合ISO/IEC27002（或其醫(yī)療保健CP應規(guī)定清楚該CP的某個章節(jié)是否應判定為不正確或無效的，而其他章節(jié)應仍然保持有設計PKI公開聲明模型是為了讓發(fā)行證書的CA將之用于補償公開文件以及CP和/或CPS所需強調或公8.2PKI公開聲明的結構GB/T21716.3—XXXX/ISO17090-3:2021無用無投訴的程序和爭議的解決，無GB/T21716.3—XXXX/ISO17090-3:2021ReferenceMod