电子招标投标系统检测认证管理办法（试行）

第十四条 运营机构可以自主选择和委托符合本办法规定的认证机构对其招标投标系统进行认证，并与认证机构签订认证委托合同。合同应当包括认证内容、认证方法、认证费用、认证时限，以及技术保密事项等内容。

第十五条 运营机构应当向认证机构提交以下材料：

（一）认证委托书，包括运营机构及其相关专业负责人的身份、资格等证明材料；

（二）招标投标系统检测报告及相关附件；

（三）招标投标系统试运行报告；

（四）保证招标投标系统合法、安全、规范运营及数据真实性、可靠性的技术措施和管理制度，运营岗位人员和职责设置方案；

（五）用户投诉及监管部门处理情况；

（六）认证机构要求的其他材料。

第十六条 认证机构应当依法经国家认监委批准，符合国家标准中关于产品认证机构技术能力的通用要求，并具备从事招标投标系统认证活动的相关技术能力。

认证人员应当通过专业能力培训，掌握招标投标系统相关的标准、技术规范、检测规范和认证规则要求。

从事招标投标系统认证活动的认证机构名录由国家认监委公布，并交互至国家电子招标投标公共服务平台。

第十七条 认证机构依据招标投标系统检测认证技术委员会相关要求，制定认证规则，经检测认证技术委员会审议后发布实施，并于认证规则发布后30日内报国家认监委备案。

第十八条 认证机构受理运营机构的认证委托后，应当按照认证规则要求，对运营机构提交的招标投标系统检测报告、招标投标系统试运行报告、持续性符合措施进行文件审查，并可根据情况对招标投标系统的持续符合保证能力进行现场审查。

符合认证要求的，认证机构出具数据电文形式和纸质形式的认证证书，并将数据电文形式认证证书交互至省级以上电子招标投标公共服务平台公布。不符合认证要求的，认证机构应当以书面形式告知其原因。

第十九条 认证机构应当对认证全过程作出完整记录，并归档留存，保证认证过程和结果具有可追溯性。

认证机构对其作出的认证结论负责。

第二十条 认证机构应当在认证证书有效期内对获证招标投标系统及运营机构每年至少实施一次跟踪检查，以确保获证招标投标系统能够持续符合认证要求。

第二十一条 认证机构通过省级以上电子招标投标公共服务平台公开认证规则、收费标准、获证招标投标系统和运营机构等信息，接受社会的监督和查询。

第二十二条 认证机构应当定期向国家认监委报送招标投标系统检测认证的实施情况及认证证书暂停、撤销或者注销的信息。

第二十三条 认证证书至少包括以下内容：

（一）认证委托人名称，地址；

（二）招标投标系统名称、型号版本和网址；

（三）运营机构名称、注册地址、受审核地址；

（四）认证依据的标准、技术要求；

（五）认证模式；

（六）证书编号；

（七）发证日期、换证日期和有效期；

（八）发证机构的名称、印章及其标志；

（九）发证机构法定代表人或者其授权签字人的签字；

（十）其他需要标注的内容。

第二十四条 认证证书有效期为三年。有效期届满前6个月内，认证委托人应当办理重新认证。

第二十五条 在认证证书有效期内，招标投标系统功能、架构、运行环境等发生重大变更、出现重大事故，或者由于运营机构原因导致无法持续与电子招标投标公共服务平台和行政监督平台进行数据交换时，运营机构应当及时向认证机构报告，认证机构根据实际情况可以作出变更、注销、暂停、撤销或者重新认证的决定，并对外公布。

第二十六条 有下列情形之一的，运营机构应当向认证机构提出变更认证证书的申请，认证机构作出相应处理：

（一）获证招标投标系统名称或者网址发生变更的；

（二）运营机构名称、地址发生变更的；

（三）认证委托人名称、地址发生变更的；

（四）本办法及《检测规范》、认证规则等发生变化的；

（五）认证机构规定的其他应当变更的情形。

第二十七条 有下列情形之一的，认证机构应当注销认证证书：

（一）认证证书有效期届满，运营机构未申请延续使用的；

（二）获证招标投标系统不再运营的；

（三）运营机构申请注销的；

（四）其他依法应当注销的情形。

第二十八条 有下列情形之一的，认证机构应当按照认证规则规定的期限暂停认证证书：

（一）获证招标投标系统适用的认证依据或者认证规则发生变化，运营机构在规定期限内未达到变化后要求的；

（二）运营机构无正当理由拒绝接受跟踪检查，或者在跟踪检查中被发现违反有关规定的；

（三）跟踪检查中发现获证招标投标系统发生变更且不能持续符合认证要求的；

（四）运营机构申请暂停的；

（五）其他依法应当暂停的情形。

第二十九条 有下列情形之一的，认证机构应当撤销认证证书：

（一）跟踪检查中发现实际运营的招标投标系统与办理检测认证时运营机构提供的招标投标系统不一致的；

（二）认证证书暂停期间，运营机构未采取整改纠正措施或者整改后仍不合格的；

（三）运营机构以欺骗、贿赂等不正当手段获得检测报告和认证证书的；

（四）其他依法应当撤销的情形。

第三十条 招标投标系统认证标志的式样由基本图案和认证机构识别信息组成。认证标志的基本式样中ABCDE代表认证机构简称。

ABCDE

认证标志应当嵌入到获证招标投标系统中，并在获证招标投标系统及运营机构网站首页予以明示，同时在标志下方标明获证日期和有效期。

电子认证标志由认证机构发放和管理。

第三十一条 运营机构应当建立认证标志使用管理制度，对认证标志的使用情况如实记录并存档，按照认证规则的规定在其招标投标系统网站、广告、产品介绍等宣传材料中正确使用和标注认证标志。

第三十二条 任何单位和个人不得伪造、变造、冒用、买卖和转让认证证书和认证标志。

第三十三条 认证机构发布的认证规则、出具的认证证书、对外公布的认证处理决定及相关检测报告应同时交互至国家电子招标投标公共服务平台。

第一条 为了规范电子招标投标系统检测认证活动，根据《中华人民共和国产品质量法》、《中华人民共和国招标投标法》及其实施条例、《中华人民共和国认证认可条例》、《电子招标投标办法》等法律法规规章的规定，制定本办法。

第二条 本办法所称电子招标投标系统是指按照《电子招标投标办法》及所附《电子招标投标系统技术规范》（以下简称《技术规范》）相关要求建设和运营，由软件、硬件及软、硬件的组合产品所组成的电子招标投标交易平台、公共服务平台和行政监督平台。

第三条 本办法所称检测认证，是指基于实验室依照相关要求对电子招标投标系统进行符合性检测结果，由第三方认证机构评价和证明电子招标投标系统能够持续符合相关要求的合格评定活动。

第四条 国家发展和改革委员会（以下简称国家发展改革委）负责指导协调全国电子招标投标活动，会同工业和信息化部、住房城乡建设部、交通运输部、水利部、商务部等有关部门编制电子招标投标系统检测技术规范，作为本办法附件一并印发。

国家认证认可监督管理委员会（以下简称国家认监委）、国家发展改革委会同工业和信息化部、住房城乡建设部、交通运输部、水利部、商务部等有关部门依法建立电子招标投标系统检测认证制度。

国家认监委负责电子招标投标系统检测认证工作的组织实施、监督管理和综合协调。

省级以上人民政府发展改革、工业和信息化、住房城乡建设、交通运输、水利、商务等部门负责对检测认证结果建立采信和运用的监督机制。

第五条 国家认监委牵头组建电子招标投标系统检测认证技术委员会，对涉及电子招标投标系统检测认证技术的重大问题进行研究和审议，为建立完善电子招标投标系统（以下简称招标投标系统）检测认证制度提供技术支撑。

第六条 负责招标投标系统日常运营的机构（以下简称运营机构）向认证机构提出检测认证委托，并在认证机构签约的实验室名录中自主选择符合本办法规定的实验室进行检测。运营机构应当与其委托的实验室签订检测委托合同，合同应当包括检测范围、检测内容、检测费用、检测期限、出具检测报告的时间，以及技术保密事项等内容。

第七条 运营机构应当依据所签订的合同向委托的实验室提供以下资料：

（一）受检招标投标系统的检测需求、设计方案、使用维护等相关说明；

（二）受检招标投标系统能够实现的基本功能定位、网络结构拓扑图及运行环境软硬件配置说明；

（三）受检招标投标系统符合《电子招标投标办法》及《技术规范》规定的要求，并能在线完成招标投标交易或公共服务流程的证明材料以及平台标识代码；

（四）受检招标投标系统与电子招标投标公共服务平台和行政监督平台实现对接并具备数据交换功能的证明材料；

（五）受检招标投标系统符合国家有关招标投标法律法规并与实际运营的招标投标系统相一致的声明。

第八条 实验室应当依法经过资质认定，符合《检验检测机构资质认定评审准则》的要求，并具备从事招标投标系统检测工作的相关技术能力。

实验室检测人员应当通过专业能力培训，掌握招标投标系统相关的标准、技术要求和认证规则要求，具备招标投标系统检测能力。

认证机构应在其网站上公布与其签约且符合上述要求的招标投标系统检测实验室名录，并交互至国家电子招标投标公共服务平台。

第九条 实验室应当依照本办法及《电子招标投标系统检测技术规范》（以下简称《检测规范》）等确定的检测内容、要求和程序进行检测。

招标投标系统检测应当包括数据项、业务规则、功能、接口、性能、安全性、可靠性、易用性、运行环境等内容，并对招标投标系统的需求、设计和使用等相关文档进行审核。

第十条 实验室发现受检招标投标系统不具备检测条件或者招标投标系统中有部分检测项不符合《检测规范》要求的，运营机构应当在修改或者重新设计后再次进行检测。运营机构可以根据招标投标系统建设情况和实际需要，请实验室提前进行部分检测，但实验室只对受检招标投标系统一次性出具最终检测报告。

第十一条 实验室应当确保检测结果的真实、准确，并对检测全过程做出完整记录，归档留存，保证检测过程和结果具有可追溯性，配合认证机构对获证招标投标系统进行跟踪检查。

第十二条 招标投标系统经检测合格后，实验室应当按照有关规定，向运营机构出具数据电文形式且经过电子签名的检测报告，并交互至省级以上电子招标投标公共服务平台公布。检测报告至少包括以下内容：

（一）受检招标投标系统名称、版本及运行环境；

（二）受检招标投标系统的建设、运营和开发机构身份、资格和相关负责人姓名；

（三）检测时限、范围；

（四）检测工具及环境说明；

（五）实验室名称、检测人员；

（六）检测内容、检测方法及检测依据；

（七）受检招标投标系统可以实现的全部功能以及与电子招标投标公共服务平台和行政监督平台实现对接并具备数据交换功能的验证证明及平台标识代码；

（八）运营机构提供的受检招标投标系统符合国家有关招标投标法律法规并与实际运营招标投标系统相一致的声明；

（九）检测结论。

实验室对其作出的检测报告以及结论负责。

第十三条 招标投标系统检测合格后，运营机构应当在获得认证证书前自行组织招标投标系统试运行。招标投标系统试运行期限从出具检测报告之日起计算，不少于两个月但不得超过半年，在试运行期限内应当达到至少3个成功运行的案例。

招标投标系统试运行期间，实验室应当依据合同对招标投标系统整改给予支持和配合，并提供相关证明材料。招标投标系统试运行结束后，运营机构应当编写招标投标系统试运行报告，报告主要包括以下内容：

（一）验证和记录招标投标系统实际试运行过程、与电子招标投标公共服务平台和行政监督平台的对接和数据交换情况，招标投标系统存在问题和整改情况等；

（二）根据《技术规范》的要求，为保证招标投标系统持续符合技术标准及招标投标法律法规规定所制订的技术、管理措施及风险防范措施的文件。

第三十四条 任何单位和个人不得强制要求招标投标系统增加违反法律法规的服务功能，并作为在一定地域、行业注册登记、运营、招标投标系统对接和数据交换的前置条件。

第三十五条 国家认监委组织开展招标投标系统检测认证专项监督检查，包括对认证机构、实验室的监督检查和获证招标投标系统的质量抽查等。发现违法违规行为的，依法查处，并通报有关部门。

第三十六条 社会公众和电子招标投标当事人对检测认证过程中的违法违规行为可以向国家认监委投诉、举报。国家认监委应当依法处理，并将处理决定交互至国家电子招标投标公共服务平台。

第三十七条 认证委托人对认证机构的认证活动和认证决定有异议的，可以向认证机构提出申诉。对认证机构处理结果仍有异议的，可以向国家认监委申诉或者投诉。

第三十八条 本办法施行前已经投入运营的招标投标系统，按照本办法要求进行检测认证期间，运营机构应当采取必要措施保证招标投标系统安全运营。

第三十九条 招标投标行政监督部门应当按照《电子招标投标办法》及《技术规范》的要求建设行政监督平台。行政监督平台的检测认证参照本办法执行。

电子招标投标交易平台与有关行业行政监督平台对接时,应当符合有关法律、行政法规和部门规章以及行业行政监督部门的规定。

第四十条 本办法由国家认监委、国家发展改革委会同有关部门负责解释。

第四十一条 本办法自2015年9月1日起施行。 2100433B

电子认证服务机构的管理

第六条 电子认证服务机构面向卫生系统提供电子认证服务应当具备以下必要条件：

（一）取得工业和信息化部颁发的《电子认证服务许可证》；

（二）符合《电子政务电子认证体系建设总体规划》（国密局联字[2007]2号）中关于电子认证体系建设的相关要求；

（三）具有符合《卫生系统电子认证服务规范》、《卫生系统数字证书格式规范》、《卫生系统数字证书介质技术规范》、《卫生系统数字证书应用集成规范》和《卫生系统数字证书服务管理平台接入规范》等的电子认证服务体系；

（四）符合法律、行政法规规定的其他条件。

第七条 卫生部信息化工作领导小组办公室负责选择卫生部及其直属单位的电子认证服务机构。各省级卫生行政部门信息化工作领导小组办公室负责选择本辖区的电子认证服务机构。

第八条 各省级卫生行政部门信息化工作领导小组办公室选定电子认证服务机构后，应当将服务机构名单及其相关材料向卫生部信息化工作领导小组办公室上报，并要求电子认证服务机构在开展服务前接入卫生部数字证书服务管理平台。

第九条 鼓励各地卫生系统数字证书应用单位优先选择已接入卫生部数字证书服务管理平台的电子认证服务机构提供服务。

第十条 卫生部信息化工作领导小组办公室与各省级卫生行政部门信息化工作领导小组办公室共同对各电子认证服务机构的服务质量及开展情况进行定期检查。

第十一条 卫生部信息化工作领导小组办公室通过数字证书服务管理平台收集、汇总电子认证服务机构面向卫生系统证书发放和服务质量反馈等信息，综合掌握全国卫生系统电子认证服务的整体应用情况。

总则

第一条 为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，制定本办法。

第二条 本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。管理方包括卫生部和各省级卫生行政部门信息化工作领导小组；使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众；提供方包括为卫生系统提供电子认证服务的电子认证服务机构。

第三条 本办法所称电子认证服务，是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范，为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务，从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。

第四条 坚持合法性原则、应用导向原则、市场竞争原则、一证多用原则，依托依法设立的第三方电子认证服务机构，按照“政府监管、企业承办”的方式，建设卫生系统电子认证服务体系。

第五条 卫生部信息化工作领导小组负责全国卫生系统电子认证服务体系的建设和管理工作，负责组织制订卫生系统电子认证服务相关技术标准和服务规范。各省级卫生行政部门信息化工作领导小组负责指导、推进本辖区卫生信息系统开展安全、规范的电子认证服务应用。

电子认证服务机构的服务要求

第十二条 电子认证服务机构应当按照《卫生系统电子认证服务规范》的要求，建立全面、规范、安全、高效的运行服务体系，并至少提供以下服务：

（一）数字证书的颁发、更新、吊销、密码解锁、密钥恢复等服务；

（二）数字证书及黑名单的查询与下载服务；

（三）为数字证书用户提供应用支持服务；

（四）提供数字证书相关的培训服务。

第十三条 电子认证服务机构应当妥善保存数字证书业务申请材料，并承担保密责任，不得泄露或遗失，信息保存期至少为证书到期后5年。

第十四条 电子认证服务机构应当建立信息安全保障机制，针对相关资产、人员、物理环境和软件系统等制订安全策略及管理制度，采取有效的安全保障措施，并对安全策略的执行情况进行有效的监督检查，确保运行服务安全可靠，满足卫生信息系统业务连续性要求。