健康信息學(xué) 公鑰基礎(chǔ)設(shè)施 第3部分：認(rèn)證機(jī)構(gòu)的策略管理 征求意見稿

GB/T21716.3—XXXX/ISO17090-3:20211健康信息學(xué)公鑰基礎(chǔ)設(shè)施3部分：認(rèn)證機(jī)構(gòu)的策略管理所需的的醫(yī)療保健安全策略的基本原則，以及專門針對(duì)醫(yī)療保健方面的安全要求的最小級(jí)別。本文件為在醫(yī)療保健過程中包括配置使用數(shù)字證書在內(nèi)的證書管理問題提供了指GB/T21716.1健康信息學(xué)公鑰基礎(chǔ)設(shè)施第1部分：數(shù)字證書服務(wù)GB/Z21716.2健康信息學(xué)公鑰基礎(chǔ)設(shè)施第2部分：證書CertificationPracticesFramework（InternetX.509公鑰基礎(chǔ)結(jié)構(gòu)證書informationsecurityconGB/T21716.1界定的術(shù)語和定義適用于本文4縮略語AA屬性機(jī)構(gòu)attributeauthorityCA認(rèn)證機(jī)構(gòu)certificationauthoCP證書策略certificatepoCPS認(rèn)證操作聲明certificationpracticestateCRL證書撤銷列表certificaPKC公鑰證書publickPKI公鑰基礎(chǔ)設(shè)施RA注冊(cè)機(jī)構(gòu)registrationauthoGB/T21716.3—XXXX/ISO17090-3:20212TTP可信第三方t5醫(yī)療保健環(huán)境中數(shù)字證書策略管理要求業(yè)角色安全可靠地與之綁定。做這種綁定是為實(shí)現(xiàn)對(duì)這些健康信息進(jìn)行基于角色的訪問控制應(yīng)有相應(yīng)的屬性安全可靠地與之綁定。做這種綁定是完成上述目標(biāo)是為了保證個(gè)人健康信息的完整性和保密性，并達(dá)到信任的使用數(shù)字證書來安全地用于健康應(yīng)用軟件所需的安全服務(wù)在GB/Z21716.1—2008中第6章有相關(guān)規(guī)定。對(duì)于其中每個(gè)安全），GB/Z21716.1—2008的第6章規(guī)定了健康應(yīng)用軟件所需的安全服務(wù)。對(duì)于這些安全服務(wù)（鑒別、完），5.4高層的信任要求性），存儲(chǔ)或傳輸個(gè)人健康信息的醫(yī)療保健應(yīng)用在交換患者的信息時(shí)還要求經(jīng)本文件的目的是定義醫(yī)療保健數(shù)字證書部署的基本要素，以支持跨國家或地區(qū)邊界的醫(yī)療保健信GB/T21716.3—XXXX/ISO17090-3:20213GB/21716.1的9.2中描述了使用數(shù)字證書來促進(jìn)健康信息跨國的安全交換的相關(guān)步驟。如果醫(yī)療保認(rèn)證標(biāo)準(zhǔn)超出了本文件的范圍，對(duì)醫(yī)療保健CA的整個(gè)認(rèn)證過程將通過格式的一致性和本文件提出的最當(dāng)一個(gè)CA簽發(fā)了一個(gè)證書時(shí)，它給了可依賴方一個(gè)聲明表示已經(jīng)給專門的證書持有者綁定了一個(gè)簽發(fā)用于醫(yī)療保健的電子證書的CA在他們所提供服務(wù)方面應(yīng)有相應(yīng)的政策和程序。這些政策和程a)在證書簽發(fā)前注冊(cè)潛在的證書持有者，包括符合GB/Z21716.2—2008第6章的證書持有者角b)在證書簽發(fā)前鑒別潛在證書持有者的身份；c)證書簽發(fā)出去后，對(duì)證書的持有者的個(gè)人信息保密；d)把證書分發(fā)給證書持有者和有關(guān)名e)接受關(guān)于可能出現(xiàn)的私有密鑰協(xié)議的信g)其他的密鑰管理問題，包括密鑰長度、個(gè)用于特定目標(biāo)的證書是否可信。其中注冊(cè)過程遵循相關(guān)ISO/IEC和ITU標(biāo)準(zhǔn)所規(guī)定的程序。注冊(cè)O(shè)ID的因?yàn)樵赑KC中建立信任時(shí)CP的重要性，所以CP不僅能被證書持有者也能基本的要求。因此，證書持有者和可依賴方在證書簽發(fā)后應(yīng)能完全而可靠的訪問到其CP。a)每個(gè)符合本部分規(guī)定的電子證書簽發(fā)時(shí)，應(yīng)GB/T21716.3—XXXX/ISO17090-3:20214雖然CP和CPS文檔的本質(zhì)是描述和控制CP及其實(shí)施，但是許多數(shù)字證書持有者特別是此目的所需的重點(diǎn)、公示和PKI公示聲明模型在本部分的CPS是對(duì)準(zhǔn)確實(shí)施所提供的服務(wù)、證書生命周期管理詳細(xì)過程等細(xì)節(jié)的完整描述，它一般比相關(guān)的c)所帶CPS不完全相同的CA可以支持相同的CP；CP聲明了在一個(gè)證書中放置了何種擔(dān)保（包括證書使用上的限制以及可靠性的限制范圍等）。CPS聲明了CA是如何建立該擔(dān)保的。CP可廣泛應(yīng)用到不止一個(gè)機(jī)構(gòu)上，而CPS只能應(yīng)用于單個(gè)CA。CP作為一種媒介提供服務(wù)，它形成了普通互操作標(biāo)準(zhǔn)和6.4適用性本部分適用于CP和CPS用在GB/Z21716.2—20符合本部分規(guī)范的CP應(yīng)滿足本章中的以下所有要求。本章中各節(jié)標(biāo)題下括號(hào)中的數(shù)字對(duì)應(yīng)的是7.2發(fā)布和存儲(chǔ)責(zé)任保留在RA或CA存儲(chǔ)庫中關(guān)于證書持有者的a)保持當(dāng)前日期并更新日期（變化被驗(yàn)證的一天之內(nèi)甚至更早，根據(jù)具體情況而定）；b)按照GB/T19716—2005的GB/T21716.3—XXXX/ISO17090-3:20215被CA授權(quán)的代表電子簽名的CP文件的電子拷貝應(yīng)可由下列情況a)放在所有可依賴方都可訪問的網(wǎng)址上；由于CPS詳細(xì)描述了一個(gè)CA服務(wù)和密鑰生命周期管理7.3標(biāo)識(shí)和鑒別證書的有效使用要求證書上出現(xiàn)的相對(duì)專有名稱能夠被依賴方理解和使用。這些證書中使用的名），證書中列出的主體識(shí)別名對(duì)于CA的不同證書持有者都應(yīng)是無歧義的和唯如有可能，建議該序列號(hào)是有含義的（如正規(guī)健康專業(yè)人員的執(zhí)照號(hào)）。參見本文件的7.3GB/T21716.3—XXXX/ISO17090-3:20216CA不應(yīng)在明知商標(biāo)不屬于證書的的主題范圍的情況下發(fā)布包含該商標(biāo)的證書。包括正規(guī)健康專業(yè)人員、非正規(guī)健康專業(yè)人員、受委托醫(yī)療保健提供者、支持組織雇員以及患者/消費(fèi)者在內(nèi)的個(gè)人應(yīng)在發(fā)行證書前向RA鑒別其身份。本文件建議應(yīng)提供與簽發(fā)護(hù)照給個(gè)人時(shí)所需的相RA提供由其委托健康組織或委托（正規(guī)）健康專業(yè)人員給互操作的準(zhǔn)則應(yīng)符合IETF/RFC36472003GB/T21716.3—XXXX/ISO17090-3:20217應(yīng)基于在創(chuàng)建時(shí)原始記錄所用的原始文件來實(shí)施CA證書的日常重建密鑰或重新發(fā)布證書。證書持有者信息的日常重建密鑰或重新發(fā)布證書應(yīng)通過回溯創(chuàng)建原始記錄時(shí)使用的原始文件或記c)用其私鑰對(duì)該請(qǐng)求進(jìn)行簽名，加密該消息并將其發(fā)送給GB/T21716.3—XXXX/ISO17090-3:20218如果包含私鑰的令牌出現(xiàn)丟失或被盜（并且該證書持有者因此而不能發(fā)起經(jīng)過數(shù)字簽名的撤銷請(qǐng)求），該撤銷請(qǐng)求應(yīng)附有最初用于包含該證書的7,4證書生命周期操作請(qǐng)求為了保證證書及其中包含的公鑰的真實(shí)性和完整性，證書持有者應(yīng)讓可信的發(fā)起者來創(chuàng)建他們的者信息傳遞給CA。同樣，應(yīng)授信RA以準(zhǔn)確、及時(shí)的方式把證書撤銷請(qǐng)求傳遞給Cc)安全地傳輸和存儲(chǔ)證書申請(qǐng)信息以及注冊(cè)記錄；在配置了數(shù)字證書的醫(yī)療保健中的證書持有者，應(yīng)接受證書并保證在證書申請(qǐng)中所表達(dá)信息的準(zhǔn)GB/T21716.3—XXXX/ISO17090-3:20219建議CA規(guī)定一個(gè)證書持有者在證書簽發(fā)處理開始后必須完成密鑰激活過程的最長當(dāng)具有證書持有者識(shí)別名的證書被簽發(fā)時(shí)，進(jìn)行證書簽發(fā)的CCA給其他實(shí)體的簽發(fā)證書通知的準(zhǔn)則應(yīng)符合IETFd)在醫(yī)療保健組織中，對(duì)于證書信息、角色或狀態(tài)的任何修改，都應(yīng)通知RA和/或CA；GB/T21716.3—XXXX/ISO17090-3:2021建議醫(yī)療保健數(shù)字證書的證書持有者還能證明其接受了適用于使用證書的健康信息功能的安全培b)此種信賴是合理的，且在信賴時(shí)是忠c)可依賴方通過檢查證書沒有被撤銷或被暫停來確認(rèn)該證書當(dāng)前的有效性；a)如果證書中的相關(guān)主題信息不再正確；b)如果證書持有者的組織關(guān)系改變，例如一個(gè)正規(guī)健如果意識(shí)到證書中的主題信息不正確，證書持有者、RA以及委托方有責(zé)7.4.8.4通知證書持有者有關(guān)修改GB/T21716.3—XXXX/ISO17090-3:2021CA通知其他實(shí)體有關(guān)修改證書的事宜時(shí)應(yīng)符合7.4.4.3中的假設(shè)一個(gè)正規(guī)健康專業(yè)人員因?yàn)樾袨椴划?dāng)而被暫停工作，此時(shí)RA正好是其一個(gè)健康專業(yè)注冊(cè)組織或發(fā)d)證書持有者的組織關(guān)系發(fā)生改變，e)由于不符合本策略和/或任何可用的CP如果意識(shí)到證書中的主題信息不正確，證書持有者、RA以及委托方有責(zé)a)確認(rèn)該請(qǐng)求撤銷的實(shí)體是該要求被撤銷的證書中所列的證書持有者；b)如果請(qǐng)求者是該證書持有者的代理，則該請(qǐng)求者有足夠的權(quán)力進(jìn)行撤銷請(qǐng)求；GB/T21716.3—XXXX/ISO17090-3:2021性將得到驗(yàn)證。也有可能使用確認(rèn)的權(quán)威機(jī)構(gòu)或外界供應(yīng)的目錄而不是簽發(fā)方7.4.9.12鑒于密鑰安全受到威脅時(shí)的在CA簽發(fā)密鑰時(shí)受到安全威脅的情況下，CA應(yīng)立即將情況通知給共同簽發(fā)交叉證書或從屬CA證書GB/T21716.3—XXXX/ISO17090-3:2021a)懷疑私鑰的安全受到威脅，此時(shí)在調(diào)查過程中暫停在CA支持暫停的地方，證書的暫停應(yīng)由下列一個(gè)或多個(gè)來提出請(qǐng)a)證書簽發(fā)時(shí)使用的是其名稱的證書持有者；運(yùn)行特征的準(zhǔn)則應(yīng)符合IETF/RFC36472003中4.10GB/T21716.3—XXXX/ISO17090-3:2021物理、程序和人員上的安全控制應(yīng)符合ISO/IEC27002（或其等效標(biāo)準(zhǔn)）的規(guī)定，或者應(yīng)按照ISO/IEC27002的規(guī)定以及遵循當(dāng)?shù)胤伞⒎ㄒ?guī)的要求對(duì)記錄進(jìn)行存檔，并采取相應(yīng)措施保知道證書是如何以及為而產(chǎn)生的這在將來可能會(huì)很重要。醫(yī)療保健RA或它們的CA對(duì)于創(chuàng)建或撤銷GB/T21716.3—XXXX/ISO17090-3:2021如果CA停止運(yùn)營，它應(yīng)在運(yùn)營終止后立即通知其證書持有人，并安排最終發(fā)布CRL并繼續(xù)保留CA的在將CA的運(yùn)營轉(zhuǎn)移給在較低保證水平上運(yùn)營的另一家CA的情況下，被轉(zhuǎn)移運(yùn)營的CA發(fā)行的證書應(yīng)7.6技術(shù)方面的安全控制如果私人才能解譯的密鑰不是由預(yù)期的證書持有者自己產(chǎn)生的，則它將既可以以符合IETF/RFC2511標(biāo)準(zhǔn)規(guī)定的在線處理的形式分發(fā)給該證書持有者CA或可信第三方的密鑰產(chǎn)生實(shí)體在其交付原始私鑰時(shí)應(yīng)能夠證明在此過程中沒有該私鑰的任何拷如果公共可解譯的密鑰不是有CA產(chǎn)生的，則它將既可以以符合IETF/RFC4211規(guī)定的在線處理的形GB/T21716.3—XXXX/ISO17090-3:20217.6.1.7按照X.509V3（密鑰使用域并不交叉驗(yàn)證時(shí)（如一個(gè)小型醫(yī)院只要證書策略允許那么滿足level2的要求就可以了。如果要活動(dòng)國際組織間的信任，則該CA應(yīng)達(dá)到level3或其他證書應(yīng)達(dá)到USFIPS140-2中l(wèi)evel1（或其等效標(biāo)準(zhǔn)）加密模塊工程控制應(yīng)符合ISO/IEC27002（或其等效標(biāo)準(zhǔn)）的規(guī)定，或者符合其他經(jīng)認(rèn)可的規(guī)范或用于鑒別或數(shù)字簽名的私鑰應(yīng)不能被第三方保存，除非法律上有特殊GB/T21716.3—XXXX/ISO17090-3:2021私有鑒別或數(shù)字簽名密鑰應(yīng)在證書持有者的完全控制下被備份。應(yīng)按照經(jīng)過鑒別的程序來進(jìn)行備密鑰透露給非正規(guī)健康專業(yè)人員或支持組織雇員的雇主7.6.2.7從加密模塊中轉(zhuǎn)出密鑰以及密鑰轉(zhuǎn)如果私有解密密鑰不是在實(shí)體的加密模塊中生成的，則它應(yīng)按照IETF/RFC2511的規(guī)定（或經(jīng)由同如果私有解密密鑰不是在實(shí)體的加密模塊中生成的，則它應(yīng)按照IETF/RFC4211的規(guī)定（或經(jīng)由同空間被釋放給操作系統(tǒng)前被重寫。加密模塊應(yīng)在密鑰的不活動(dòng)預(yù)置期后自動(dòng)當(dāng)一個(gè)密鑰不再使用時(shí)，在計(jì)算機(jī)內(nèi)存以及共享磁盤空間中該密鑰的所有備份應(yīng)通過多次重寫來GB/T21716.3—XXXX/ISO17090-3:2021應(yīng)與可信第三方一起對(duì)公鑰證書和CRL進(jìn)行存檔以便允許將來對(duì)簽名進(jìn)行驗(yàn)證。CA應(yīng)負(fù)責(zé)確保公鑰非CA的公鑰和私鑰使用應(yīng)不超過3年，過了該期限后應(yīng)發(fā)行新的密鑰對(duì)。屬性證書可以有較短的有CA應(yīng)確保其用于證書簽發(fā)的私鑰只能用于簽發(fā)證書或簽發(fā)證書撤銷列表。CA應(yīng)確保簽發(fā)給其工作計(jì)算機(jī)安全控制應(yīng)符合ISO/IEC27002（或其等效標(biāo)準(zhǔn)）的規(guī)定，或者符合其他經(jīng)認(rèn)可的a)IETF/RFC3647,6.5.1指定的計(jì)生命周期技術(shù)控制應(yīng)符合ISO/IEC27002（或其等效標(biāo)準(zhǔn)）的規(guī)定，或者符合其他GB/T21716.3—XXXX/ISO17090-3:2021網(wǎng)絡(luò)安全控制應(yīng)符合ISO/IEC27002（或其等效標(biāo)符合性審計(jì)是許多數(shù)字簽名互操作模型的一個(gè)基本構(gòu)件（例如可參CA依照醫(yī)療保健CP發(fā)行的證書應(yīng)使所有可依賴方都確信該證書完全符合該策略的要求。CA符合性審計(jì)員應(yīng)屬于一個(gè)與CA分離的組織而完全獨(dú)立于被審計(jì)方。審計(jì)員應(yīng)不牽涉到被審計(jì)方的任何經(jīng)GB/T21716.3—XXXX/ISO17090-3:2021當(dāng)CA的認(rèn)可團(tuán)體（此處這種認(rèn)可處于涉及CA運(yùn)作的權(quán)限范圍內(nèi)）判定一個(gè)CA不能一個(gè)CA不能成功遵守CPS的重要元素（這些元素被認(rèn)為時(shí)擔(dān)保程序的一部分）時(shí)，應(yīng)被歸為主要失敗。例如，某一CA的識(shí)別沒有包含足夠的業(yè)務(wù)連續(xù)性措施應(yīng)被歸為主要如果同時(shí)有更多的事件影響該CA或者該CA沒能在幾天內(nèi)糾正該符合性問題，則應(yīng)強(qiáng)制將該問題擴(kuò)如果又發(fā)現(xiàn)更多的此類失敗或者該CA沒有在30日內(nèi)糾正這些符合性問題，則應(yīng)強(qiáng)制將該問題擴(kuò)大樣的失敗應(yīng)歸為次要失敗。例如，管理上的失誤（如記賬不正確）應(yīng)歸為次要失敗。如果發(fā)現(xiàn)了更多的本來失敗或者該CA在下一次安排的審計(jì)之前還未糾正該符合性問題，則應(yīng)強(qiáng)制7.9其他業(yè)務(wù)和法律問題GB/T21716.3—XXXX/ISO17090-3:2021a)證書持有者的個(gè)人信息以及注冊(cè)權(quán)威機(jī)構(gòu)收集的用于標(biāo)識(shí)目的個(gè)人信息，但不包括證書本身GB/T21716.3—XXXX/ISO17090-3:20217.9.4.7其他發(fā)布信息的環(huán)境－在證書持有者的在沒有來自證書持有者手寫授權(quán)書的情況下，保密信息只有根據(jù)在CA或RA所在國家的法律下根據(jù)7.9.6.2所列情況中的擴(kuò)展責(zé)任是醫(yī)療保健的各領(lǐng)域中CA運(yùn)作的整個(gè)策略的一部分。這些領(lǐng)域都服從于國家法規(guī)和國際協(xié)議。因此產(chǎn)生了對(duì)CA責(zé)任和RA責(zé)任的需求。屬性機(jī)構(gòu)責(zé)任CA應(yīng)給每個(gè)證書持有者提供關(guān)于該持有者在該CP下的權(quán)利和責(zé)任的通知書。該通知書可以是證書持有者協(xié)議的形式，且應(yīng)包含該證書的使用說明、關(guān)于密鑰保護(hù)和用于證書持有者與CA或LRA之間通信處理可疑密鑰安全威脅、重新申請(qǐng)證書或密鑰、取消服務(wù)以及解決爭議的各a)CA應(yīng)對(duì)密鑰分發(fā)過程中私鑰所受b)CA應(yīng)對(duì)帶有相關(guān)數(shù)字簽名的個(gè)人身份與其他認(rèn)可信息之間的錯(cuò)誤綁定負(fù)責(zé)，除非它能證實(shí)附GB/T21716.3—XXXX/ISO17090-3:2021a)RA應(yīng)對(duì)帶有相關(guān)數(shù)字簽名的個(gè)人身份與其他認(rèn)可信息之間的錯(cuò)誤綁定負(fù)責(zé)，除非它能證實(shí)附a)確保在證書申請(qǐng)中表述的準(zhǔn)確性，以及通過接d)對(duì)于任何實(shí)際的或可疑的遺失、泄密或其他對(duì)其私鑰的安全威脅都立即通報(bào)給CA和/或RA；e)對(duì)于證書信息、在醫(yī)療保健組織中的角色或狀態(tài)發(fā)生了任何改變都通報(bào)給CA和/或RA；a)該證書的使用目的正好是在本策略之下的；b)該依賴是合理的，且在依賴時(shí)所誠實(shí)b)一個(gè)CA可以在證書持有者生成的密鑰方面沒有責(zé)任，除非該GB/T21716.3—XXXX/ISO17090-3:2021用于醫(yī)療保健的證書持有者的責(zé)任可限制在就證書持有者而言的疏期限和終止應(yīng)符合IETF/RFC3647200在對(duì)CP進(jìn)行任何改動(dòng)之前，該CA的管理團(tuán)體應(yīng)OID必須被修改的環(huán)境應(yīng)符合IETF/RFGB/T21716.3—XXXX/ISO17090-3:2021在醫(yī)療保健中配置數(shù)字證書應(yīng)遵守本地法律以及國際法的要求并符合ISO/IEC27002（或其醫(yī)療保健CP應(yīng)規(guī)定清楚該CP的某個(gè)章節(jié)是否應(yīng)判定為不正確或無效的，而其他章節(jié)應(yīng)仍然保持有設(shè)計(jì)PKI公開聲明模型是為了讓發(fā)行證書的CA將之用于補(bǔ)償公開文件以及CP和/或CPS所需強(qiáng)調(diào)或公8.2PKI公開聲明的結(jié)構(gòu)GB/T21716.3—XXXX/ISO17090-3:2021無用無投訴的程序和爭議的解決，無GB/T21716.3—XXXX/ISO17090-3:2021ReferenceMod