卫生系统电子认证服务管理办法（试行）

电子认证服务机构的服务要求

第十二条 电子认证服务机构应当按照《卫生系统电子认证服务规范》的要求，建立全面、规范、安全、高效的运行服务体系，并至少提供以下服务：

（一）数字证书的颁发、更新、吊销、密码解锁、密钥恢复等服务；

（二）数字证书及黑名单的查询与下载服务；

（三）为数字证书用户提供应用支持服务；

（四）提供数字证书相关的培训服务。

第十三条 电子认证服务机构应当妥善保存数字证书业务申请材料，并承担保密责任，不得泄露或遗失，信息保存期至少为证书到期后5年。

第十四条 电子认证服务机构应当建立信息安全保障机制，针对相关资产、人员、物理环境和软件系统等制订安全策略及管理制度，采取有效的安全保障措施，并对安全策略的执行情况进行有效的监督检查，确保运行服务安全可靠，满足卫生信息系统业务连续性要求。

数字证书的应用管理

第十五条 凡涉及国家安全、社会稳定、公众利益等方面的各类重要卫生信息系统，应当按照国家法律法规、信息安全等级保护制度等要求，采用电子认证服务，解决身份认证、授权管理、责任认定等安全问题，主要包括：

（一）涉及公共卫生业务的信息系统；

（二）涉及医疗保健的医疗卫生信息系统；

（三）网上申报、年检、备案、资质认定等行政审批信息系统；

（四）各类网上招标采购信息系统；

（五）其他重要卫生信息系统。

第十六条 使用电子认证服务的各类卫生信息系统，应当遵循《卫生系统数字证书应用集成规范》进行建设，实现数字证书的各项安全功能。

第十七条 纳入卫生系统电子认证服务体系的电子认证服务机构，其颁发的数字证书应当能够在各类卫生信息系统中进行注册、授权及使用，确保实现互信互认、一证多用。

第十八条 数字证书使用单位应当加强证书管理，指导并要求证书持有人妥善保管数字证书介质。出现数字证书介质丢失或损坏等异常情况时，证书持有人应当立即联系电子认证服务机构进行妥善处理。

第十九条 数字证书原则上由信息系统建设单位统一采购配发并负责初次办理费用，其年服务费用由使用单位负责；对于向社会提供服务的信息系统，其费用由服务申请者支付。

第二十条 多个卫生信息系统覆盖相同用户群体时，由卫生部和各省级卫生行政部门信息化工作领导小组办公室协调各信息系统建设单位，分摊数字证书的初次办理费用。

总则

第一条 为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，制定本办法。

第二条 本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。管理方包括卫生部和各省级卫生行政部门信息化工作领导小组；使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众；提供方包括为卫生系统提供电子认证服务的电子认证服务机构。

第三条 本办法所称电子认证服务，是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范，为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务，从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。

第四条 坚持合法性原则、应用导向原则、市场竞争原则、一证多用原则，依托依法设立的第三方电子认证服务机构，按照“政府监管、企业承办”的方式，建设卫生系统电子认证服务体系。

第五条 卫生部信息化工作领导小组负责全国卫生系统电子认证服务体系的建设和管理工作，负责组织制订卫生系统电子认证服务相关技术标准和服务规范。各省级卫生行政部门信息化工作领导小组负责指导、推进本辖区卫生信息系统开展安全、规范的电子认证服务应用。

电子认证服务机构的管理

第六条 电子认证服务机构面向卫生系统提供电子认证服务应当具备以下必要条件：

（一）取得工业和信息化部颁发的《电子认证服务许可证》；

（二）符合《电子政务电子认证体系建设总体规划》（国密局联字[2007]2号）中关于电子认证体系建设的相关要求；

（三）具有符合《卫生系统电子认证服务规范》、《卫生系统数字证书格式规范》、《卫生系统数字证书介质技术规范》、《卫生系统数字证书应用集成规范》和《卫生系统数字证书服务管理平台接入规范》等的电子认证服务体系；

（四）符合法律、行政法规规定的其他条件。

第七条 卫生部信息化工作领导小组办公室负责选择卫生部及其直属单位的电子认证服务机构。各省级卫生行政部门信息化工作领导小组办公室负责选择本辖区的电子认证服务机构。

第八条 各省级卫生行政部门信息化工作领导小组办公室选定电子认证服务机构后，应当将服务机构名单及其相关材料向卫生部信息化工作领导小组办公室上报，并要求电子认证服务机构在开展服务前接入卫生部数字证书服务管理平台。

第九条 鼓励各地卫生系统数字证书应用单位优先选择已接入卫生部数字证书服务管理平台的电子认证服务机构提供服务。

第十条 卫生部信息化工作领导小组办公室与各省级卫生行政部门信息化工作领导小组办公室共同对各电子认证服务机构的服务质量及开展情况进行定期检查。

第十一条 卫生部信息化工作领导小组办公室通过数字证书服务管理平台收集、汇总电子认证服务机构面向卫生系统证书发放和服务质量反馈等信息，综合掌握全国卫生系统电子认证服务的整体应用情况。

附则

第二十一条 各省级卫生行政部门信息化工作领导小组应当按照本办法第六条要求，对本辖区已开展服务的电子认证服务机构进行评估。符合第六条各项条件的，方可接入卫生部数字证书服务管理平台并继续开展服务；不符合第六条规定条件的，应当责令其进行整改，如1年内仍达不到相关要求的，应当终止其服务。

第二十二条 已建成但尚未采用数字证书的重要卫生信息系统，应当尽快采用数字证书，实现身份认证、授权管理和责任认定；已经采用数字证书的重要卫生信息系统应当尽快按照本办法的有关要求进行系统改造，纳入卫生系统电子认证服务体系。

第二十三条 本办法由卫生部信息化工作领导小组办公室负责解释。

第二十四条 本办法自2010年1月1日起试行。

中华人民共和国信息产业部令第35号《电子认证服务管理办法》已经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过，现予发布，自2005年4月1日起施行．

部长：王旭东二00五年二月八日电子认证服务管理办法

第一章　总则

第一条　为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，依照《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。

第二条　本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。

本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构（以下称为“电子认证服务机构”）。

第三条　在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条　中华人民共和国信息产业部（以下简称“信息产业部”）依法对电子认证服务机构和电子认证服务实施监督管理。

第二章　电子认证

第五条　电子认证服务机构，应当具备下列条件：

（一）具有独立的企业法人资格；

（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；

（三）注册资金不低于人民币三千万元；

（四）具有固定的经营场所和满足电子认证服务要求的物理环境；

（五）具有符合国家有关安全标准的技术和设备；

（六）具有国家密码管理机构同意使用密码的证明文件；

（七）法律、行政法规规定的其他条件。

第六条　申请电子认证服务许可的，应当向信息产业部提交下列材料：

（一）书面申请；

（二）专业技术人员和管理人员证明；

（三）资金和经营场所证明；

（四）国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证；

（五）国家密码管理机构同意使用密码的证明文件。

第七条　信息产业部对提交的申请材料进行形式审查，依法作出是否受理的决定。

第八条　信息产业部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的，指派两名以上工作人员实地进行核查。

第九条　信息产业部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。

第十条　信息产业部自接到申请之日起四十五日内作出许可或者不予许可的书面决定。不予许可的，说明理由并书面通知申请人；准予许可的，颁发《电子认证服务许可证》，并公布下列信息：

（一）《电子认证服务许可证》编号；

（二）电子认证服务机构名称；

（三）发证机关和发证日期。

电子认证服务许可相关信息发生变更的，信息产业部应当及时公布。

《电子认证服务许可证》的有效期为五年。

第十一条　取得电子认证服务许可的，应当持《电子认证服务许可证》到工商行政管理机关办理相关手续。　第十二条　取得认证资格的电子认证服务机构，在提供电子认证服务之前，应当通过互联网公布下列信息：

（一）机构名称和法定代表人；

（二）机构住所和联系办法；

（三）《电子认证服务许可证》编号；

（四）发证机关和发证日期；

（五）《电子认证服务许可证》有效期的起止时间。

第十三条　电子认证服务机构在《电子认证服务许可证》的有效期内变更法人名称、住所、注册资本、法定代表人的，应自完成相关变更手续之日起五日内按照本办法第十二条的规定公布变更后的信息，并自公布之日起十五日内向信息产业部备案。

第十四条　《电子认证服务许可证》的有效期届满要求续展的，电子认证服务机构应在许可证有效期届满三十日前向信息产业部申请办理续展手续，并自办结之日起五日内按照本办法第十二条的规定公布相关信息。

第三章　电子认证服务

第十五条　电子认证服务机构应当按照信息产业部公布的《电子认证业务规则规范》的要求，制定本机构的电子认证业务规则，并在提供电子认证服务前予以公布，向信息产业部备案。

电子认证业务规则发生变更的，电子认证服务机构应当予以公布，并自公布之日起三十日内向信息产业部备案。第十六条　电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。

第十七条　电子认证服务机构应当保证提供下列服务：

（一）制作、签发、管理电子签名认证证书；

（二）确认签发的电子签名认证证书的真实性；

（三）提供电子签名认证证书目录信息查询服务；

（四）提供电子签名认证证书状态信息查询服务。

第十八条　电子认证服务机构应当履行下列义务：

（一）保证电子签名认证证书内容在有效期内完整、准确；

（二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；

（三）妥善保存与电子认证服务相关的信息。

第十九条　电子认证服务机构应当建立完善的安全管理和内部审计制度，并接受信息产业部的监督管理。

第二十条　电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。

电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。

第二十一条　电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：

（一）电子签名认证证书和电子签名的使用条件；

（二）服务收费的项目和标准；

（三）保存和使用证书持有人信息的权限和责任；

（四）电子认证服务机构的责任范围；

（五）证书持有人的责任范围；

（六）其他需要事先告知的事项。

第二十二条　电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。

第四章　认证暂停、终止

第二十三条　电子认证服务机构在《电子认证服务许可证》的有效期内拟终止电子认证服务的，应在终止服务六十日前向信息产业部报告，同时向信息产业部申请办理证书注销手续，并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。

第二十四条　电子认证服务机构拟暂停或者终止电子认证服务的，应在暂停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各方。

电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务六十日前向信息产业部报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。

第二十五条　电子认证服务机构拟暂停或者终止电子认证服务，未能就业务承接事项与其他电子认证服务机构达成协议的，应当申请信息产业部安排其他电子认证服务机构承接其业务。

第二十六条　电子认证服务机构被依法吊销电子认证服务许可的，其业务承接事项的处理按照信息产业部的规定进行。

第二十七条　电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务。

第五章　电子签名认证

第二十八条　电子签名认证证书应当准确载明下列内容：

（一）签发电子签名认证证书的电子认证服务机构名称；

（二）证书持有人名称；

（三）证书序列号；

（四）证书有效期；

（五）证书持有人的电子签名验证数据；

（六）电子认证服务机构的电子签名；

（七）信息产业部规定的其他内容。

第二十九条　有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：

（一）证书持有人申请撤销证书；

（二）证书持有人提供的信息不真实；

（三）证书持有人没有履行双方合同规定的义务；

（四）法律、行政法规规定的其他情况。

第三十条　有下列情况之一的，电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料进行审查：

（一）申请人申请电子签名认证证书；

（二）证书持有人申请更新证书；

（三）证书持有人申请撤销证书。

第三十一条　电子认证服务机构更新或者撤销电子签名认证证书时，应当予以公告。

第六章　监督管理

第三十二条　信息产业部对电子认证服务机构进行年度检查并公布检查结果。

年度检查采取报告审查和现场核查相结合的方式。

第三十三条　取得电子认证服务许可的电子认证服务机构，在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。

第三十四条　电子认证服务机构应当按照信息产业部信息统计的要求，按时和如实报送认证业务开展情况及有关资料。

第三十五条　电子认证服务机构应当对其从业人员进行岗位培训。

第三十六条　信息产业部根据监督管理工作的需要，可以委托有关省、自治区和直辖市的信息产业主管部门承担具体的监督管理事项。

第七章　罚则

第三十七条　电子认证服务机构向信息产业部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的，由信息产业部依据职权责令改正，并处警告或者五千元以上一万元以下罚款。

第三十八条　信息产业部和省、自治区和直辖市的信息产业主管部门的工作人员，不依法履行监督管理职责的，由信息产业部或者省、自治区和直辖市的信息产业主管部门依据职权视情节轻重，分别给予警告、记过、记大过、降级、撤职、开除的行政处分；构成犯罪的，依法追究刑事责任。

第三十九条　电子认证服务机构违反本办法第十六条、第二十七条的规定的，由信息产业部依据职权责令限期改正，并处警告或一万元以下的罚款，或者同时处以以上两种处罚。

第四十条　电子认证服务机构违反本办法第三十三条的规定的，由信息产业部依据职权责令限期改正，并处三万元以下罚款。

第八章　附则

第四十一条　本办法施行前已从事电子认证服务的机构拟继续从事电子认证服务的，应在2005年9月30日前依照本办法取得电子认证服务许可；拟终止电子认证服务的，应当对终止业务的相关事项作出妥善安排。自2005年10月1日起，未取得电子认证服务许可的，不得继续从事电子认证服务。

第四十二条　经信息产业部根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。第四十三条本办法自2005年4月1日起施行。

第十四条 运营机构可以自主选择和委托符合本办法规定的认证机构对其招标投标系统进行认证，并与认证机构签订认证委托合同。合同应当包括认证内容、认证方法、认证费用、认证时限，以及技术保密事项等内容。

第十五条 运营机构应当向认证机构提交以下材料：

（一）认证委托书，包括运营机构及其相关专业负责人的身份、资格等证明材料；

（二）招标投标系统检测报告及相关附件；

（三）招标投标系统试运行报告；

（四）保证招标投标系统合法、安全、规范运营及数据真实性、可靠性的技术措施和管理制度，运营岗位人员和职责设置方案；

（五）用户投诉及监管部门处理情况；

（六）认证机构要求的其他材料。

第十六条 认证机构应当依法经国家认监委批准，符合国家标准中关于产品认证机构技术能力的通用要求，并具备从事招标投标系统认证活动的相关技术能力。

认证人员应当通过专业能力培训，掌握招标投标系统相关的标准、技术规范、检测规范和认证规则要求。

从事招标投标系统认证活动的认证机构名录由国家认监委公布，并交互至国家电子招标投标公共服务平台。

第十七条 认证机构依据招标投标系统检测认证技术委员会相关要求，制定认证规则，经检测认证技术委员会审议后发布实施，并于认证规则发布后30日内报国家认监委备案。

第十八条 认证机构受理运营机构的认证委托后，应当按照认证规则要求，对运营机构提交的招标投标系统检测报告、招标投标系统试运行报告、持续性符合措施进行文件审查，并可根据情况对招标投标系统的持续符合保证能力进行现场审查。

符合认证要求的，认证机构出具数据电文形式和纸质形式的认证证书，并将数据电文形式认证证书交互至省级以上电子招标投标公共服务平台公布。不符合认证要求的，认证机构应当以书面形式告知其原因。

第十九条 认证机构应当对认证全过程作出完整记录，并归档留存，保证认证过程和结果具有可追溯性。

认证机构对其作出的认证结论负责。

第二十条 认证机构应当在认证证书有效期内对获证招标投标系统及运营机构每年至少实施一次跟踪检查，以确保获证招标投标系统能够持续符合认证要求。

第二十一条 认证机构通过省级以上电子招标投标公共服务平台公开认证规则、收费标准、获证招标投标系统和运营机构等信息，接受社会的监督和查询。

第二十二条 认证机构应当定期向国家认监委报送招标投标系统检测认证的实施情况及认证证书暂停、撤销或者注销的信息。

第一条 为了规范电子招标投标系统检测认证活动，根据《中华人民共和国产品质量法》、《中华人民共和国招标投标法》及其实施条例、《中华人民共和国认证认可条例》、《电子招标投标办法》等法律法规规章的规定，制定本办法。

第二条 本办法所称电子招标投标系统是指按照《电子招标投标办法》及所附《电子招标投标系统技术规范》（以下简称《技术规范》）相关要求建设和运营，由软件、硬件及软、硬件的组合产品所组成的电子招标投标交易平台、公共服务平台和行政监督平台。

第三条 本办法所称检测认证，是指基于实验室依照相关要求对电子招标投标系统进行符合性检测结果，由第三方认证机构评价和证明电子招标投标系统能够持续符合相关要求的合格评定活动。

第四条 国家发展和改革委员会（以下简称国家发展改革委）负责指导协调全国电子招标投标活动，会同工业和信息化部、住房城乡建设部、交通运输部、水利部、商务部等有关部门编制电子招标投标系统检测技术规范，作为本办法附件一并印发。

国家认证认可监督管理委员会（以下简称国家认监委）、国家发展改革委会同工业和信息化部、住房城乡建设部、交通运输部、水利部、商务部等有关部门依法建立电子招标投标系统检测认证制度。

国家认监委负责电子招标投标系统检测认证工作的组织实施、监督管理和综合协调。

省级以上人民政府发展改革、工业和信息化、住房城乡建设、交通运输、水利、商务等部门负责对检测认证结果建立采信和运用的监督机制。

第五条 国家认监委牵头组建电子招标投标系统检测认证技术委员会，对涉及电子招标投标系统检测认证技术的重大问题进行研究和审议，为建立完善电子招标投标系统（以下简称招标投标系统）检测认证制度提供技术支撑。