標準解讀

《GB/Z 21716.3-2008 健康信息學 公鑰基礎設施(PKI) 第3部分:認證機構(gòu)的策略管理》是針對健康信息系統(tǒng)中使用公鑰基礎設施時,如何管理和制定認證機構(gòu)(CA)策略的具體指導。該標準主要關注于確保在健康信息領域內(nèi)進行安全通信和數(shù)據(jù)交換時所必需的信任基礎。它涵蓋了幾個關鍵方面:

首先,定義了認證機構(gòu)(CA)的角色與責任,明確了CA在頒發(fā)、維護以及撤銷數(shù)字證書過程中應遵循的原則。這包括但不限于對申請者身份驗證的要求、證書內(nèi)容規(guī)范、證書生命周期管理等。

其次,提出了策略框架,為不同類型的實體(如個人、組織)提供了一套通用但又靈活可調(diào)整的安全策略模板。這些策略旨在平衡安全性與可用性之間的關系,同時考慮到法律法規(guī)遵從性和行業(yè)最佳實踐。

此外,還詳細描述了策略文檔化的重要性及其方法論。強調(diào)了清晰記錄所有相關決策過程對于實現(xiàn)透明度、促進內(nèi)部審核及外部評估的價值。同時也指出了定期審查和更新策略以適應技術進步或業(yè)務需求變化的必要性。

最后,討論了與其他相關方(例如依賴方、注冊機構(gòu)等)之間就策略事宜進行有效溝通的方法。通過建立明確的合作機制來保證整個PKI生態(tài)系統(tǒng)內(nèi)的協(xié)調(diào)一致性和互操作性。

本文件作為指南性質(zhì)的標準,并非強制執(zhí)行,但它提供了寶貴的參考材料,幫助各方更好地理解和實施符合當前技術水平及國際標準要求的安全措施。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2008-04-11 頒布
?正版授權(quán)
GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理_第1頁
GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理_第2頁
GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理_第3頁
GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理_第4頁
GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理_第5頁
免費預覽已結(jié)束,剩余27頁可下載查看

下載本文檔

GB/Z 21716.3-2008健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的策略管理-免費下載試讀頁

文檔簡介

犐犆犛35.240.80

犆07

中華人民共和國國家標準化指導性技術文件

犌犅/犣21716.3—2008

健康信息學公鑰基礎設施(犘犓犐)

第3部分:認證機構(gòu)的策略管理

犎犲犪犾狋犺犻狀犳狅狉犿犪狋犻犮狊—犘狌犫犾犻犮犽犲狔犻狀犳狉犪狊狋狉狌犮狋狌狉犲(犘犓犐)—

犘犪狉狋3:犘狅犾犻犮狔犿犪狀犪犵犲犿犲狀狋狅犳犮犲狉狋犻犳犻犮犪狋犻狅狀犪狌狋犺狅狉犻狋狔

20080411發(fā)布

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犣21716.3—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5在醫(yī)療保健語境中數(shù)字證書策略管理的要求!!!!!!!!!!!!!!!!!!!!!!1

5.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.2高層的保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3基礎設施可用性的高層要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.4高層的信任要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.5互聯(lián)網(wǎng)兼容性的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.6便于評估和比較CP的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

6醫(yī)療保?。茫泻停茫校拥慕Y(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

6.1CP的一般要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

6.2CPS的一般要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.3CP和CPS間的關系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.4適用性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

7醫(yī)療保健CP的最小要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

7.1一般要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

7.2發(fā)布和存儲責任!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

7.3標識和鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

7.4證書生命周期操作請求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7.5物理控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.6技術方面的安全控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.7證書、CRL和OCSP輪廓!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.8符合性審計!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.9其他業(yè)務和法律問題!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8PKI公開聲明模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.2PKI公開聲明的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犣21716.3—2008

前言

GB/Z21716《健康信息學公鑰基礎設施(PKI)》分為3個部分:

———第1部分:數(shù)字證書服務綜述;

———第2部分:證書輪廓;

———第3部分:認證機構(gòu)的策略管理。

本部分為GB/Z21716的第3部分。

本部分是參照ISO170903/DIS:2006《健康信息學公鑰基礎設施(PKI)第3部分:認證機構(gòu)的

策略管理》而制定的。

本部分由中國標準化研究院提出。

本部分由中國標準化研究院歸口。

本部分起草單位:中國標準化研究院、中國人民解放軍總醫(yī)院、中國人民武裝警察部隊指揮學院。

本部分主要起草人:陳煌、任冠華、董連續(xù)、劉碧松、尹嶺、韻力宇。

犌犅/犣21716.3—2008

引言

為了降低費用和成本,衛(wèi)生行業(yè)正面臨著從紙質(zhì)處理向自動化電子處理轉(zhuǎn)變的挑戰(zhàn)。新的醫(yī)療保

健模式增加了對專業(yè)醫(yī)療保健提供者之間和突破傳統(tǒng)機構(gòu)界限來共享患者信息的需求。

一般來說,每個公民的健康信息都可以通過電子郵件、遠程數(shù)據(jù)庫訪問、電子數(shù)據(jù)交換以及其他應

用來進行交換。互聯(lián)網(wǎng)提供了經(jīng)濟且便于訪問的信息交換方式,但它也是一個不安全的媒介,這就要求

采取一定的措施來保護信息的保密性和保密性。未經(jīng)授權(quán)的訪問,無論是有意的還是無意的,都會增加

對健康信息安全的威脅。醫(yī)療保健系統(tǒng)有必要使用可靠信息安全服務來降低未經(jīng)授權(quán)訪問的風險。

衛(wèi)生行業(yè)如何以一種經(jīng)濟實用的方式來對互聯(lián)網(wǎng)中傳輸?shù)臄?shù)據(jù)進行適當?shù)谋Wo?針對這個問題,

目前人們正在嘗試利用公鑰基礎設施(PKI)和數(shù)字證書技術來應對這一挑戰(zhàn)。

正確配置數(shù)字證書要求將技術、策略和管理過程綁定在一起,利用“公鑰密碼算法”來保護信息,利

用“證書”來確認個人或?qū)嶓w的身份,從而實現(xiàn)在不安全的環(huán)境中對敏感數(shù)據(jù)的安全交換。在衛(wèi)生領域

中,這種技術使用鑒別、加密和數(shù)字簽名等方法來保證對個人健康記錄的安全訪問和傳輸,以滿足臨床

和管理方面的需要。通過數(shù)字證書配置所提供的服務(包括加密、信息完整性和數(shù)字簽名)能夠解決很

多安全問題。為此,世界上許多組織已經(jīng)開始使用數(shù)字證書。比較典型的一種情況就是將數(shù)字證書與

一個公認的信息安全標準聯(lián)合使用。

如果健康應用需要在不同組織或不同轄區(qū)之間(如為同一個患者提供服務的醫(yī)院和社區(qū)醫(yī)生之間)

交換信息,則數(shù)字證書技術及其支撐策略、程序、操作的互操作性是最重要的。

實現(xiàn)不同數(shù)字證書實施之間的互操作性需要建立一個信任框架。在這個框架下,負責保護個人信

息權(quán)利的各方要依賴于具體的策略和操作,甚至還要依賴于由其他已有機構(gòu)發(fā)行的數(shù)字證書的有效性。

許多國家正在采用數(shù)字證書來支持國內(nèi)的安全通信。如果標準的制定活動僅僅局限于國家內(nèi)部,

則不同國家之間的認證機構(gòu)(CA)和注冊機構(gòu)(RA)在策略和程序上將產(chǎn)生不一致甚至矛盾的地方。

數(shù)字證書有很多方面并不專門用于醫(yī)療保健,它們目前仍處于發(fā)展階段。此外,一些重要的標準化

工作以及立法支持工作也正在進行當中。另一方面,很多國家的醫(yī)療保健提供者正在使用或準備使用

數(shù)字證書。因此,本指導性技術文件的目的是為這些迅速發(fā)展的國際應用提供指導。

本指導性技術文件描述了一般性技術、操作以及策略方面的需求,以便能夠使用數(shù)字證書來保護健

康信息在領域內(nèi)部、不同領域之間以及不同轄區(qū)之間進行交換。本指導性技術文件的最終目的是要建

立一個能夠?qū)崿F(xiàn)全球互操作的平臺。本指導性技術文件主要支持使用數(shù)字證書的跨國通信,但也為配

置國家性或區(qū)域性的醫(yī)療保健數(shù)字證書提供指導?;ヂ?lián)網(wǎng)作為傳輸媒介正越來越多地被用于在醫(yī)療保

健組織間傳遞健康數(shù)據(jù),它也是實現(xiàn)跨國通信的唯一選擇。

本指導性技術文件的三個部分作為一個整體定義了在衛(wèi)生行業(yè)中如何使用數(shù)字證書提供安全服

務,包括鑒別、保密性、數(shù)據(jù)完整性以及支持數(shù)字簽名質(zhì)量的技術能力。

本指導性技術文件第1部分規(guī)定了衛(wèi)生領域中使用數(shù)字證書的基本概念,并給出了使用數(shù)字證書

進行健康信息安全通信所需的互操作方案。

本指導性技術文件第2部分給出了基于國際標準X.509的數(shù)字證書的健康專用輪廓以及用于不

同證書類型的IETF/RFC3280中規(guī)定的醫(yī)療保健輪廓。

本指導性技術文件第3部分用于解決與實施和使用醫(yī)療保健數(shù)字證書相關的管理問題,規(guī)定了證

書策略(CP)的結(jié)構(gòu)和最低要求以及關聯(lián)認證操作聲明的結(jié)構(gòu)。該部分以IETF/RFC3647的相關建議

為基礎,確定了在健康跨國通信的安全策略中所需的原則,還規(guī)定了健康方面所需的最低級別的安

全性。

犌犅/犣21716.3—2008

健康信息學公鑰基礎設施(犘犓犐)

第3部分:認證機構(gòu)的策略管理

1范圍

本部分為在醫(yī)療保健過程中包括配置使用數(shù)字證書在內(nèi)的證書管理問題提供了指南。它規(guī)定了證

書策略的結(jié)構(gòu)和最低要求,包括認證實施聲明的結(jié)構(gòu)等。它還給出了為實現(xiàn)跨國界通信所需的醫(yī)療保

健安全策略的基本原則,以及專門針對醫(yī)療保健方面的安全要求的最小級別。

2規(guī)范性引用文件

下列文件中的條款通過GB/Z21716—2008的本部分的引用而成為本部分的條款。凡是注日期的

引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論