健康信息学 公钥基础设施 第3部分：认证机构的策略管理 编制说明.docx

《健康信息学公钥基础设施略管理》

第3部分：认证机构的策编制说明

一、工作简况

（一）任务来源

本文件的制订计划由中国标准化研究院提出，经国家标准委批准，正式列入2023年推荐性国家标准制修订项目计划，项目编号为T-424，采标号为ISO17090-3:2021，项目名称为《健康信息学公钥基础设施第3部分：认证机构的策略管理》。

本文件的起草单位包括：中国标准化研究院、中国人民解放军总医院、北京航空航天大学、上海中医药大学、深圳市卫生健康发展研究和数据管理中心、福建省中科标准科技有限责任公司、浙江大学、浙江师范大学、北京信息科技大学、厦门市众科佰联标准化服务有限公司、福建理工大学等。

（二）本文件制定目的和意义

随着经济社会的快速发展，公众对健康的关注不断提升，对多样化的健康服务需求日益增长。健康信息系统作为医疗卫生改革的核心，能够整合社会健康资源，提升服务效率，促进健康服务的形式、流程和内容的根本变革，提高健康资源的可及性和公平性，有效缓解就医难、就医贵的问题。

互联网虽然提供了便捷的信息交换手段，但其不安全性要求我们采取措施保护信息的私密性和必威体育官网网址性。数字证书通过绑定技术、策略和管理过程，利用公钥密码算法和证书确认身份，保障敏感数据在不

安全环境中安全交换。在健康领域，数字证书技术通过鉴别、加密和数字签名等手段，确保个人健康记录的安全访问和传输，满足临床和管理的需求，同时也强调了互操作性的重要性，以支持跨组织和辖区的健康信息交换。制定一系列能够统一健康信息化相关的业务和技术问题，规范信息交换、共享的各个环节的基础性、通用性的技术标准至关重要。

通过修订《健康信息学公钥基础设施第3部分：认证机构的策略管理》，旨在适应信息技术的快速发展，提高医疗数据处理的安全性和效率。这一标准的更新有助于加强对患者隐私的保护，优化认证流程，确保健康信息在传输和存储过程中的安全性和完整性，同时促进不同医疗机构间的互操作性和信息共享。这些改进对于维护医疗保健领域的数据安全和提升服务质量至关重要。

（三）主要工作过程

3.1成立起草组，确定标准框架并形成标准草案稿

2024年2月——5月，在中国标准化研究院的组织下，成立了由中国标准化研究院、中国人民解放军总医院、北京航空航天大学、上海中医药大学、深圳市卫生健康发展研究和数据管理中心、福建省中科标准科技有限责任公司、浙江大学、浙江师范大学、北京信息科技大学、厦门市众科佰联标准化服务有限公司、福建理工大学等单位组成的标准起草组。

因为本文件是修改采用国际标准，所以起草工作小组前期对ISO17090-3：2021《健康信息学公钥基础设施第3部分：认证机构

的策略管理》进行了认真的翻译研究工作，并对国际标准中引用到的标准和技术文件逐一进行了查阅和研究，初步确定了本文件的草案第一稿。

在上述工作基础上，起草组在对国内外的健康信息系统建设中的信息安全建设与应用情况进行了资料调研和分析，确立了标准框架和具体内容，形成标准草案正式稿。

3.2确定标准草案并形成征求意见稿

2024年6月——9月，在确立的草案稿的基础上，起草组内部经过多次讨论后对标准的技术内容进行了充实和完善。同时，起草组多次组织国内相关的专家学者召开研讨会，对标准框架及草案内容提出进行研讨。起草组在广泛听取专家的意见和建议，并经过多次内部的研讨、修改后，于2024年9月形成了标准的征求意见稿。

二、国家标准编制原则和确定国家标准主要内容的论据

（一）编制原则

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T1.2-2020《标准化工作导则第2部分：以ISO/IEC标准化文件为基础的标准化文件起草规则》的要求，采用翻译法修改采用ISO17090-3：2021《健康信息学公钥基础设施第3部分：认证机构的策略管理》。同时充分考虑到现阶段我国健康信息系统建设情况和实际需求，使其具有可操作性。

（二）确定论据

本文件修改采用国际标准ISO17090-3：2021《健康信息学公

钥基础设施第3部分：认证机构的策略管理》。

（三）主要内容

1缩略语

本文件定义的缩略语包括：属性机构、认证机构、证书策略、认证操作声明、证书撤销列表、对象标识符、公钥证书、公钥基础设施、注册机构、可信第三方。

2医疗保健环境中数字证书策略管理要求

本章节给出了医疗保健环境中数字证书策略管理的要求，强调了在医疗保健领域中，数字证书的部署必须确保个人健康信息通信的安全性。还