区域医疗信息平台电子认证安全应用解决方案二〇二〇年五月目录1.背景为贯彻《电子签名法》和《电子病历基本规范》,保障医疗信息系统的安全,规避医疗行为的法律风险,卫生部于2010 年 1 月 7 日发布了《卫生系统电子认证服务管理办法(试行)》,从行业角度提出使用电子认证服务保障卫生信息系统安全,满足卫生信息系统在 身份认证、授权管理、责任认定等方面的信息安全需求。随后,卫生部于 2010 年 5 月 7 日发布了《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》,制定了《卫生系统电子认证服务规范(试行)》等五个电子认证服务技术规范,为卫生系统全面推广电子认证服务应用提供了政策与技术服务规范保障,以确保我国各类卫生信息系统都能够实现安全、合法、有序的开展。为贯彻落实《卫生系统电子认证服务管理办法(试行)》(卫办发[2009]125 号)、《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》(卫办综发[2010]74 号),深圳市卫生和人口计划生育委员会(以下简称市卫人委)已发布《关于开展我市卫生和人口计生系统电子认证服务体系统一建设工作的通知》(深卫人发[2011]328 号),积极开展了深圳市卫生系统电子认证服务体系的建设工作。为更好地推进各区卫生信息化发展,顺应卫生部和市卫人委相关政策要求, 切实保障各区域医疗信息平台系统安全,各区应建设电子认证服务系统, 并依托该系统为各区卫生单位及个体提供统一的电子认证服务, 有利于促进各区卫生系统电子认证服务体系的建设,具有重要的现实利益。2.需求分析根据对各区区域医疗信息平台实际调研情况,分析得出各区区域医疗信息平台主要存在以下安全需求:1、方便快捷的数字证书发放与管理区域医疗信息平台所面临的安全威胁,需要使用到数字证书, 涉及到数字证书的申请、发放、更新、吊销等操作,医院业务的特殊性和连续性,决定了卫生系统中数字证书的使用需要对数字证书生命周期的管理工作提供便捷化支持,即在鉴别用户的真实身份后,即可快速提供证书申请、 证书下载、证书更新、证书吊销和在线解锁等服务。2、确保医护人员登录区域医疗信息系统身份的可靠性区域医疗信息平台涉及医疗机构、公共卫生机构及行政机构等,平台用户类型多样,包括区域医疗机构、卫生行政部门、患者多类用户,传统的“用户名+口令码”的弱认证方式的弊端逐渐凸显,很容易导致内部重要医疗数据的外泄,甚至导致医院信息系统遭受破坏性...
