卫生部办公厅关于印发《居民健康卡生命周期管理办法》、《居民健康卡个人化管理办法》、《居民健康卡密钥管理办法》、《居民健康卡安全存取模块(SAM)卡生命周期管理办法》、《居民健康卡产品检测管理办法》等居民健康卡配套管理办法和技术规范的通知(一)
卫生部办公厅关于印发居民健康卡配套管理办法和技术规范的通知
(卫办综发〔2012〕26号 )
各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局,部属(管)医院:
为加快推进卫生信息化,规范居民健康卡的发行、制作、应用和管理,方便居民获得连续便捷的医疗卫生服务,按照《居民健康卡管理办法(试行)》要求,我部制定了《居民健康卡生命周期管理办法》、《居民健康卡个人化管理办法》、《居民健康卡密钥管理办法》、《居民健康卡安全存取模块(SAM)卡生命周期管理办法》、《居民健康卡产品检测管理办法》、《居民健康卡生产单位及产品备案管理办法》6个配套管理办法,还对已发布的《居民健康卡技术规范》进行了修订,并制定了《居民健康卡用户卡命令集》、《居民健康卡应用规范》、《居民健康卡终端技术规范》、《居民健康卡用户卡及终端产品检测规范》4个配套技术规范,并经部务会审议通过。现印发给你们(可从卫生部网站电子政务栏目下载),请遵照执行,并及时总结工作经验,将发现的问题和有关建议反馈我部。
附件:1.居民健康卡生命周期管理办法
2.居民健康卡个人化管理办法
3.居民健康卡密钥管理办法
4.居民健康卡安全存取模块(SAM)卡生命周期管理办法
5.居民健康卡产品检测管理办法
6.居民健康卡生产单位及产品备案管理办法
7.《居民健康卡技术规范》的修订说明
8.居民健康卡用户卡命令集
9.居民健康卡应用规范
10.居民健康卡终端技术规范
11.居民健康卡用户卡及终端产品检测规范
二〇一二年二月二十四日
附件1:
居民健康卡生命周期管理办法
(中华人民共和国卫生部 2011年11月)
为规范中华人民共和国居民健康卡(以下简称居民健康卡)生产、发行、使用、回收等全生命周期过程管理,特制定本办法。
本办法适用于该过程中居民健康卡管理机构(以下简称卡管理机构)、发卡机构、生产企业和持卡人。
本办法所指居民健康卡,是指遵从《居民健康卡技术规范》、《居民健康卡用户卡命令集V1.0》等国内外有关规范,用于医疗保健领域、计算机可识别的CPU卡;居民健康卡的发放对象,是具有中华人民共和国国籍的居民和其他需要在中华人民共和国境内享受医疗卫生健康服务的人员。居民健康卡采用电子实名制,一人一卡。
居民健康卡生命周期包括四个阶段:(中华人民共和国卫生部 2011年11月)
(一)芯片和卡片生产阶段。包含卡片芯片设计、卡片操作系统设计与加载、卡体生产和将芯片模块镶嵌于卡体中。
(二)应用准备阶段。规划卡片上应用程序,初始化应用的个人化数据。
(三)卡片使用阶段。居民使用卡片在各级各类医疗卫生机构接受预防、医疗、保健、康复等医疗卫生服务,并可对卡执行挂失、解挂、解锁、补换等操作。
(四)终止卡片使用阶段。锁定卡片所有应用程序,从而终止卡片使用。 居民健康卡采用准入及备案管理制度。芯片设计商、卡片操作系统(COS)开发商、卡片制造商等均应按照相应准入及备案管理办法的要求,获得入围资格。 卫生部负责制订居民健康卡标准规范和管理办法,以及居民健康卡发行和应用的授权管理:
(一)卫生部居民健康卡注册管理中心(以下简称注册管理中心)负责具体工作;负责审核芯片提供机构、卡片操作系统提供机构、密钥管理系统提供机构、终端提供机构和制卡机构的资质。
(二)卫生部统一为发行居民健康卡的省份分配居民健康卡发行机构标识号。
(三)卫生部建立居民健康卡密钥管理系统,制订密钥管理制度,负责生成和管理全国的一级根密钥,并按照统一规则生成二级根密钥,分发给省级卫生行政部门。
(四)居民健康卡基础数据的具体采集和维护办法由卫生部统一规定。 发行省份省级卫生行政部门负责管理本省(区、市)居民健康卡的发行和应用,其主要职责是:
(一)从获得入围资格的备选目录中选定芯片提供机构、卡片操作系统提供机构、密钥管理系统提供机构、终端提供机构和制卡机构,并报卫生部备案。
(二)统一组织居民健康卡制作,可以根据本省(区、市)实际情况,授权辖区内卫生行政部门组织实施,并报卫生部备案。
(三)建立本级居民健康卡密钥管理系统,制订密钥管理制度,负责管理使用二级根密钥,可根据实际情况,按照统一规则生成三级根密钥或者卡片密钥。
(四)组织实施居民健康卡基础数据的采集与维护工作。
(五)组织制定本地区居民健康卡发行和应用管理规范及实施细则、建设支持居民健康卡发行和应用的信息化平台,可以根据本省(区、市)实际情况,授权辖区内卫生行政部门具体实施,并报卫生部备案。
(六)组织建设各级居民健康卡管理机构。 地市级居民健康卡管理机构负责管理本地区居民健康卡的具体实施,其主要职责是:
(一)依照所属省级卫生行政部门管理办法,切实履行省级卫生行政部门授权的各项工作,落实居民健康卡管理职责。
(二)落实信息化平台的建立并保障其正常运转。
(三)组织建设辖区内各级实施机构及服务机构。 各级实施机构及服务机构向居民提供居民健康卡各项业务,作为面向用户的卡管理机构运作,其主要职责是:
(一)面向居民健康卡发行对象,实施相关数据采集、居民健康卡发放的任务。
(二)提供居民健康卡发放、挂失、解挂、解锁、补换等服务。居民在使用居民健康卡过程中如有需要可向所属居民健康卡实施和服务机构提出申请,对应机构一旦受理申请应及时予以处理。 居民健康卡芯片提供商应具备卫生部《居民健康卡生产单位及产品备案管理办法(征求意见稿)》要求的资质,拟用作居民健康卡芯片的,须向注册管理中心提交芯片备案申请,由卫生部审查后反馈审查意见,合格者予以备案。居民健康卡所选用芯片应从备案芯片中选取,实际使用情况由注册管理中心进行监督。
居民健康卡卡片操作系统(COS)的设计,应符合《居民健康卡技术规范》、《居民健康卡用户卡命令集V1.0》等相关要求,并通过卫生部指定检测机构检测。
获得准入资格的卡片操作系统(COS)厂商应提供复位应答信息和可操作的测试命令,供卡片制造商在封装芯片模块后对卡片进行测试,以便将封装过程中产生的坏卡及时筛除。
卡片操作系统(COS)厂商应将通过检测的居民健康卡芯片模块提交给具备生产资质的卡片制造商,进行封装和非个性化信息印刷。 卡片操作系统(COS)开发商通过安全的渠道将居民健康卡的传输密钥交给卡片发行单位,并提供创建居民健康卡文件系统的接口服务程序或脚本文件。
卡片发行单位负责组织发卡软件的编写,通过卡复位应答信息获取卡片操作系统(COS)信息,从而调用相应的接口服务程序或脚本文件,对卡片完成个人化过程,即创建卡片文件结构、写入密钥及个人化数据。 完成个人化的卡片进入正常使用阶段:
(一)卡片发行。卡片发行单位完成居民健康卡制卡数据的采集和整理并完成卡片个人化,居民所属卡管理机构向居民发放健康卡。
(二)卡片日常使用。居民在各级各类医疗卫生机构接受预防、医疗、保健、康复等医疗卫生服务时,须出示居民健康卡。居民应当妥善保管居民健康卡及相关信息,不得转让、转借。因遗失、出让或转借造成的损失由持卡人自行承担。各类医疗卫生机构有责任和义务为居民保守相关医疗信息的隐私,不得向无关人员透露居民健康卡相关信息。
(三)卡片挂失。应提供本人有效身份证明,填写健康卡挂失申请单(参考附表1),向所属卡管理机构申请挂失。卡管理机构应及时核实情况并对卡进行挂失操作。挂失期间居民健康卡的所有业务被冻结。
(四)卡片解挂。应提供本人有效身份证明,持对应居民健康卡,填写健康卡解挂申请单(参考附表2),向所属卡管理机构申请解挂。卡管理机构应及时核实情况并对卡进行解挂失操作。解挂成功后,居民健康卡恢复正常使用。
(五)卡片解锁。应提供本人有效身份证明,持对应居民健康卡,填写健康卡解锁申请单(参考附表3),向所属卡管理机构申请解锁。卡管理机构应及时核实情况并对卡进行解锁操作。解锁成功后,居民健康卡恢复正常使用。
(六)卡片补换。居民户籍、身份信息等个人信息变更,卡片严重损坏不能识读或者卡片丢失不能找回时,应提供本人有效身份证明,填写健康卡补领申请单(参考附表4),向所属卡管理机构申请换领新卡。除卡片丢失的情况外,在领取新卡时,必须交回原卡。
卡管理机构受理补领申请后,应及时为申请人制作新的居民健康卡。补发新卡成功后,所有业务数据转入新卡,原卡片在系统中做注销标记处理,不再参与任何业务。
(七)临时卡管理。申领新卡期间,急需使用居民健康卡的,可申请领取临时健康卡,卡管理机构应当按照规定及时予以办理,在临时卡有效期限内,临时卡等同于居民健康卡使用。领取新卡时须交回所发放临时卡。 为加强系统安全管理,并从环保角度考虑,应鼓励不再使用健康卡的居民将卡退回卡管理机构。卡管理机构应通过锁定卡片所有应用目录,或直接锁定卡片来实现卡片终止使用。已终止使用的卡片,无法通过任何方式重新启用,由卡管理机构统一进行处理。 本办法由中华人民共和国卫生部负责解释。 本办法自发布之日起施行。
附表1:居民健康卡挂失申请单
姓名 | 申请日期 | □□□□年□□月□□日 | |
健康卡卡号 |
| 电话 |
|
身份 标识 | 居民身份证号码: □□□□□□□□□□□□□□□□□□ 其他证件_________ 证件号码: □□□□□□□□□□□□□□□□□□ | ||
挂失原因 |
| ||
审核 |
| ||
附表2:居民健康卡解挂申请单
姓名 | 申请日期 | □□□□年□□月□□日 | |
挂失日期 | □□□□年□□月□□日 | 电话 | |
健康卡卡号 |
| ||
身份 标识 | 居民身份证号码: □□□□□□□□□□□□□□□□□□ 其他证件_________ 证件号码: □□□□□□□□□□□□□□□□□□ | ||
挂失原因 |
| ||
解挂原因 |
| ||
审核 |
| ||
附表3:居民健康卡解锁申请单
姓名 | 申请日期 | □□□□年□□月□□日 | |
密码锁定日期 | □□□□年□□月□□日 | 电话 | |
健康卡卡号 |
| ||
身份 标识 | 居民身份证号码: □□□□□□□□□□□□□□□□□□ 其他证件_________ 证件号码: □□□□□□□□□□□□□□□□□□ | ||
密码锁定原因 |
| ||
审核 |
| ||
附表4:居民健康卡补领申请单
姓名 | 申请日期 | □□□□年□□月□□日 | ||||
原卡编号 | 电话 | |||||
补领原因 | 1 丢失 2 损坏 3 信息变更 4 其他______________ □ | |||||
身份 标识 | 居民身份证号码: □□□□□□□□□□□□□□□□□□ 其他证件_________ 证件号码: □□□□□□□□□□□□□□□□□□ | |||||
变更条目 | 条目名称 | 原内容 | 变更后内容 | 变更原因 | ||
审核 |
| |||||
附件2:
居民健康卡个人化管理办法
(中华人民共和国卫生部 2011年11月)
为了加强中华人民共和国居民健康卡(以下简称居民健康卡)卡片个人化的管理,规范卡片个人化流程中各环节的工作,结合《居民健康卡技术规范》,特制定本办法。
居民健康卡个人化指将卡片从没有携带任何个性化信息的空白卡到完成所需要的个性化信息及密钥注入的过程,个人化流程指卡片从完成封装的空白卡到生产为成品卡、实施发放之前的全过程。
居民健康卡个人化由个人化机构完成。个人化机构是指有能力完成居民健康卡卡片个人化信息及密钥注入的组织、单位,需要通过卫生部的检测,并取得相应资质,即卫生部门认可的第三方机构,或卫生部门自建的个人化中心。
居民健康卡发卡机构是指经卫生部门授权的,从事居民健康卡信息制作、卡片发行的组织、单位。
本办法适用于居民健康卡发卡机构、个人化机构对卡片个人化的管理,凡涉及居民健康卡个人化流程中的数据准备与数据管理、密钥管理、生产环境管理、生产过程管理、运输管理等均适用本办法。
对居民健康卡金融应用的个人化,参照卫生部与中国人民银行制作的有关规范。
发卡机构需要完成制卡数据的采集和整理。制卡数据包括基础信息(身份识别数据、卡识别数据、基础健康数据)和个人照片信息两部分。个人基础信息的采集要求准确,照片信息要求清晰、自然,便于识别。基础信息与个人照片信息要完成数据匹配,必须形成对应关系。
制卡数据按照数据标准、数据格式、命名规则进行整理,数据标准与数据格式要遵循卫生部《居民健康卡技术规范》中的相关要求。
发卡机构与个人化机构间制卡数据的传输必须符合《居民健康卡应用规范V1.0》中的安全要求,使用网络或数据盘进行传输时必须采用加密方式。
制卡数据通过网络传输要使用安全网络,个人化机构在接收完成制卡数据后,必须及时转移至内部生产处理网络,删除接收设备上的数据,并做好记录。
制卡数据通过数据盘递送方式进行数据传输,发卡机构应安排专人递送,同时个人化机构必须安排两名及以上工作人员接收,并及时将制卡数据转移至内部生产处理网络,将数据盘保存到安全环境。
个人化机构必须制定安全条例用于控制制卡数据的访问、处理和使用。制卡数据的访问和使用情况,必须形成日志,永久保留。对所有存储介质,必须进行标记管理。
个人化机构严禁对制卡数据进行修改。发现制卡数据存在错误,应及时联系发卡机构,做好错误数据记录。已经完成制卡的数据,由发卡机构与个人化机构确定数据或销毁,对删除或销毁的信息必须进行详细记录,数据处理过程由双方监督控制。
居民健康卡密钥主要包括卡片应用密钥和传输密钥。密钥的使用遵循《居民健康卡密钥管理办法》。
密钥必须由加密机生成。密钥由个人化机构本地生成时,灌装密钥的加密机在发卡机构与个人化机构签订保密协议后方可使用;个人化机构远程访问加密机方式时,必须要通过安全的、可信赖的、稳定的网络进行连接。个人化设备应以密文带安全报文的形式将卡片应用密钥传递给卡片进行密钥灌装。
个人化机构的个人化车间出入人员必须持证进入,必须有两名以上由个人化机构进行授权的工作人员同时在场才能进行生产,个人化车间内严禁安装外线电话,严禁将手机、录像机、照相机等任何与工作无关的记录设备带入车间内。个人化生产区域内要求通过门禁系统控制出入权限,出入权限只能授权与车间个人化工作相关的人员。
生产区域必须有24小时闭路监控,对生产过程进行全方位实时记录,并保存监控录像。
个人化机构需提供有独立的个人化生产局域网络,个人化网络不能与其它任何网络相连。整个网络通过入侵防护系统和防火墙隔离,分成数据接收区、数据处理区和个人化区。
用于生产和存储原材料、半成品、成品、废卡以及卡片数据的区域均应属于高安全区。进入高安全区的通道必须安装门禁系统,并记录所有进出信息。高安全区要满足消防、安保要求。
生产过程中个人化机构必须对卡体的数量及数据的个性化进行严格的监控,各工序的交接要清楚,并填写相应的交接单,说明卡片的去向。
生产过程中因各种因素所产生的损坏卡体,报废模块,报废成品卡或其它高安全材料等的处理必须作好相应的记录,并在发卡机构要求的期限内加以保存,报废的成品卡应存放在指定的区域并严格保管。生产过程中产生的废品应每天分类清点数量,填写相应的销毁记录单,销毁后的卡片应确保不可再利用。
在卡片个人化中,个人化设备必须与加密机或母卡相连,以保证发送指令时进行数据的加解密以及密钥校验,保证上述过程必须在高安全区进行个人化处理,个人化处理过程中,卡片和持卡人信息不能暴露给任何无关人员。
建立完善的白卡档案和数量管理,当天有过出库或入库的卡种(白卡、半成品卡、成品卡),当天必须经过数量核对。
建立生产过程日志,对人员交接时间、交接时工作完成情况进行记录。
为防止居民健康卡在发放到申领人之前出现磨损、划伤等物理损坏,个人化机构必须对每张成品卡按照发卡机构要求进行包装。
包装前,个人化机构必须安排两次计数,每次计数的工作人员不能相同。如两次计数的结果不一致,必须立刻重新核实;如两次计数核对一致,则个人化机构居民健康卡生产负责人签字确认后装箱。(中华人民共和国卫生部 2011年11月)
居民健康卡外包装必须完全密封并贴上保密封条,防止在运输过程中暴露和非法开启。用于包装的材料必须有足够的强度和韧度,防止在运输过程中因外力出现物理损害。 发运前的卡产品必须存放在个人化机构库房,存放的区域必须安装24小时闭路监控系统,用于存放卡产品的包装箱不得开启,如发运前发现包装箱损害或被开启,必须重新计数、包装,并查找原因、登记在册。 卡片在正式交付发卡机构及发放之前,个人化机构须保证按照本办法执行全部运输程序要求,确定授权接收人员已在指定接收地点后,方可进行货物交付工作。在货物交付无误时,发卡机构指定的接收人员必须提供一份确认货物完整的书面接收凭证。 本办法由中华人民共和国卫生部负责解释。 本办法自发布之日起施行。
附件3:
居民健康卡密钥管理办法
(中华人民共和国卫生部 2011年11月)
为了加强卫生部居民健康卡密钥的安全管理,规范密钥管理工作操作流程,确保卫生系统各级密钥管理部门各项工作安全、有序开展,特制订此管理办法。
居民健康卡密钥管理采用两级密钥管理体制:全国密钥管理和省(直辖市)级密钥管理。
由卫生部设立部级密钥管理中心(一级密钥管理中心),该中心隶属于部居民健康卡管理中心。各省(直辖市、自治区)卫生厅设立省市级密钥管理中心(二级密钥管理中心),该中心隶属于省居民健康卡管理中心。
卫生部负责制定全国密钥管理的总体规划,负责部级、省市级密钥管理中心的业务督导和业务培训,负责“部级密钥管理系统”的日常运行和维护。
各省卫生厅负责制定本省密钥管理规划,负责本省密钥管理系统的日常运行和维护。
居民健康卡系统使用的密钥有以下几种类型:(中华人民共和国卫生部 2011年11月)
(一) 非对称密钥,包括卫生部一级根密钥,发卡机构二级根密钥,SAM卡签名密钥。
(二) 卡片管理类密钥,包括居民健康卡主控密钥、居民健康卡维护密钥、SAM卡主控密钥、SAM卡维护密钥。
(三) 应用管理类密钥,包括居民健康卡全国应用主控密钥、居民健康卡全国应用维护密钥。 非对称密钥采用两级管理架构,部级密钥管理中心自签“根公钥证书”,并为发卡机构签发“发卡机构公钥证书”,发卡机构签发终端SAM卡公钥证书。 对称密钥采用两级建设三级分散机制生成。两级建设是指对称密钥需要建设部级密钥管理中心和省市级密钥管理中心。部级密钥管理中心生成根密钥,通过分散机制逐级下发至省市级密钥管理中心,直至居民健康卡和终端SAM卡。 为支持跨区域使用,SAM卡必须装载全国应用根密钥,全国应用根密钥经过二次分散后加载到居民健康卡中,一级分散因子通过省代码生成,二级分散因子通过居民健康卡序列号生成。 为了降低密钥泄漏的风险,密钥管理系统应保证密钥的装载、存放和分散必须在安全的环境下完成,保证任何中间结果不被内部操作人员和外界获得。 卫生部全国密钥管理中心负责生成和管理居民健康卡一级非对称根密钥和一级对称根密钥。 卫生部全国密钥管理中心负责自签根公钥证书,负责签发发卡机构公钥证书,并负责为全国医疗机构、结算机构和居民健康卡管理机构签发SAM卡公钥证书。 卫生部全国密钥管理中心负责分散生成省市级根密钥,采用安全的方式下发到省市级密钥管理中心。 卫生部全国密钥管理中心负责部居民健康卡管理中心密钥管理系统运行、日常维护工作。 卫生部全国密钥管理中心负责各类根密钥的安全保管工作。 省市级密钥管理中心负责向部居民健康卡管理中心申请和接收省市级根密钥和全国共享应用密钥。 省市级密钥管理中心采用批量方式向卫生部申请发放SAM卡,并负责本省SAM卡的安全分发和安全管理。 省市级密钥管理中心负责为居民健康卡个人化提供下级根密钥发放服务。 省市级密钥管理中心负责本省密钥管理系统的运行、维护工作 省市级密钥管理中心负责卫生部下发的密钥卡片、设备以及省市级密钥管理相关的密钥、设备的安全保管工作。 全国密钥管理中心人员组成为:密钥主管(一人)、密钥管理员(三人),密钥保管员(一人)。 各省市级密钥管理中心人员组成为:密钥主管(一人)、密钥管理员(二人),密钥保管员(一人)。 密钥主管的主要工作是负责密钥管理中心的日常运行管理,密钥管理工作规划和业务需求,应急措施和备用机制建立。 密钥管理员的主要职责是进行日常系统运行维护、密钥管理和发卡操作,并保存日常使用到的密钥(卡)和设备。 条密钥保管员负责封存非日常使用的密钥(卡)和密码。 为保障系统安全性,部居民健康卡管理中心和省居民健康卡管理中心使用专用保险箱妥善保管敏感信息和核心设备,针对密钥管理中心启用、恢复、省市级密钥卡申领、SAM卡发卡、卡片采购以及库存管理等日常工作制定相应的工作流程,严格按照工作流程开展工作,并接受上级部门的监督和检查。 部级根密钥管理系统负责产生非对称根密钥、卡片总控密钥和用于跨省交易的全国应用根密钥;为各省、直辖市二级密钥管理系统分散产生对应省市级根密钥,签发发卡机构公钥证书。 由对称密钥管理系统生成相应的对称密钥。通过领导按下选择按钮后经密码机产生随机种子密钥并存在领导卡(CPU卡)中,领导卡通过PIN码保护,对称密钥管理系统通过多张领导卡同时在线,验证领导卡PIN码正确后读出领导卡中的随机种子密钥,送入密钥管理系统加密机经过相应算法,生成所有的密钥。 由根证书管理系统密码机生成非对称根密钥,并自签根公钥证书。采用(5,3)门限方案将非对称根密钥备份到5张密钥备份卡,分存于卫生部5个不同的部门。以便在必要时,任选其中3张密钥备份卡,可恢复全部系统根密钥。 卫生部根密钥管理系统向省市级密钥管理系统传输分散后的省市级根密钥时,可选用两种模式中的一种:一种是通过在线的方式,采用加密机对加密机的安全传输方式将上级密钥下发到下级密钥管理中心的密码机中。另一种方式是采用密钥母卡传递的方式,由上级密管中心生成密钥母卡和认证卡,然后通过人工申领的方式,并要求必须两人领取,每人分别保管其中的一张卡,以加强传递中的安全性。 省市级密钥管理中心负责向卫生部全国密钥管理中心申请使用和接收省市级根密钥,为下级单位分散生成下级根密钥。 为确保系统安全性,避免密钥泄漏,省市密钥管理部门应先向部居民健康卡管理中心密钥管理部门申请省市级密钥管理测试密钥,以便进行系统测试,成功接收测试密钥后,再申请省市级正式密钥。 省市级密钥管理部门向部居民健康卡管理中心密钥管理部门申请测试、正式省市级密钥均需提交《卫生部省市级密钥申请表》。同时在本省市级密钥管理中心密码机中生成公私钥对,生成并提交自签名的公钥输出文件。 部级居民健康卡管理中心密钥管理部门在接收申请表后的二个工作日内,以《卫生部省市级密钥申请表-回复》形式进行回复,回复信息中包含密钥领取时间,测试密钥领取时间不晚于申请表接收时间的三个工作日内,正式密钥领取时间不晚于申请表接收时间的五个工作日内。 部级居民健康卡管理中心密钥管理部门接收到省市级密钥管理部门申请后,由密钥管理员为省市级密码机签发设备公钥证书、并以公钥加密的方式导出省市级根密钥,制作省市级密钥母卡。 密钥母卡制作完毕后,部级居民健康卡管理中心密钥管理部门通知申请省密钥管理中心领卡,测试卡可以通过邮寄方式寄送到省密钥管理部门,正式卡采用省卫生厅到部级居民健康卡管理中心密钥管理部门现场领卡方式,领卡人员为申请表上的卡片接收人,领卡人员至少二人。 现场领卡时由省卫生厅领卡人员和部级居民健康卡管理中心密钥管理部门密钥管理人员进行交接,登记卡片交接记录,同时告知领卡人员卡片密码,测试卡密码以口头或电子邮件方式通知省中心。 省市级密钥管理中心将全国密钥管理中心下发的二级根密钥导入本地密码机中。 密钥母卡由省市级密钥管理中心密钥保管员安全保管。 省市级密钥管理中心可参照本办法为下级发卡单位按对称密钥分散机制制作发卡母卡,具体办法由省卫生厅制定,并报卫生部审核备案。 SAM卡由卫生部全国密钥管理中心统一签发SAM卡公钥证书、装载全国应用根密钥、并装载其它密钥和管理信息。 各省市级密钥管理中心向全国密钥管理中心批量申领SAM卡。 省市级密钥管理中心填写《卫生部SAM卡申请表》,加盖省市级密钥管理部门公章,并将SAM卡申请表寄送到部居民健康卡管理中心全国密钥管理中心。同时需要提供详细的SAM卡制卡电子数据,电子数据应进行加密处理。 卫生部全国密钥管理中心接收到省卫生厅SAM卡发卡申请后,密钥主管在五个工作日内针对申请和电子数据进行审核并回复,回复内容包括领卡时间。 卫生部全国密钥管理中心进行SAM卡制卡。 SAM卡生成非对称公私钥对(在卡内生成),签发SAM卡公钥证书,将SAM卡公钥证书和发卡机构证书写入SAM卡,在卡片上记录SAM卡序列号、装载全国应用根密钥、并根据SAM卡用途装载其它对称密钥。 SAM卡制卡完毕后,卫生部居民健康卡管理中心密钥管理部门通知申请省密钥管理中心领卡。领卡时由省密钥管理中心领卡人员和部居民健康卡管理中心密钥管理中心密钥管理人员进行交接,登记卡片交接记录。 省卫生厅应根据本省情况制定SAM卡分发、使用等具体管理办法,由省市级密钥管理中心执行。 省市级密钥管理中心对SAM卡操作过程中损坏的SAM卡应如数及时退回一级密钥管理中心统一销毁,并对其原来的登记情况给予注销。 省市级密钥管理中心将挂失、注销的SAM卡即时上报卫生部密钥管理中心,上报时应包括SAM卡卡号和挂失、注销时间等基本信息。卫生部密钥管理中心将已挂失、注销的SAM卡记入SAM卡黑名单。 卫生部密钥管理中心每周定期生成和发布SAM卡黑名单。 硬件密码机是进行密钥生成、存储和密码运算的安全设备,部署在各级密钥管理系统和制卡系统机房,其网络以及硬件维护工作由相关应用系统维护人员完成,密钥注入和管理由密钥管理人员完成。 密码机必须部署在具有屏蔽措施的机房,并置于24小时监控之下。 本办法由中华人民共和国卫生部负责解释。 本办法自发布之日起施行。
附件4:
居民健康卡安全存取模块(SAM)卡生命周期管理办法
(中华人民共和国卫生部 2011年11月)
为了规范中华人民共和国居民健康卡安全存取模块(SAM)卡(以下简称SAM卡)的生产、发行、使用、回收等全生命周期过程,指导SAM卡的使用与管理,特制定本办法。
本办法适用于居民健康卡的管理机构(以下简称卡管理机构)、SAM卡发卡机构、SAM卡生产企业、SAM卡的实际使用机构。
SAM卡生命周期包括四个阶段:(中华人民共和国卫生部 2011年11月)
(一)生产阶段。包括SAM卡芯片设计、卡片操作系统设计、卡片操作系统加载到芯片等工作。
(二)应用准备阶段。包括规划卡片上的应用程序,初始化应用数据等工作。
(三)卡片使用阶段。包括SAM卡的申领、发放、跟踪、回收等处理流程。
(四)卡片终止使用阶段。包括SAM卡的丢失、损坏、回收等处理流程。 卫生部负责制订居民健康卡SAM卡标准规范,以及发行和应用的授权管理;省级卫生行政部门负责管理本省(区、市)居民健康卡SAM卡的发行和应用,发行对象为本省(区、市)的SAM卡的使用机构。 SAM卡采用准入及备案管理制度。卫生部居民健康卡注册管理中心对SAM卡芯片设计商、卡片COS开发商等均统一建立准入及备案管理机制。 生产阶段。SAM卡芯片应从按照《居民健康卡生产单位及产品备案管理办法》获得准入资格的供应商所提供的、可满足SAM卡使用需求的芯片中选取。
SAM卡COS应基于符合上述规定的芯片设计,并符合《居民健康卡安全存取模块(SAM)卡技术规范V1.0》、《居民健康卡安全存取模块(SAM)卡命令集V1.0》等相关要求,并通过指定的权威机构依据《居民健康卡安全存取模块(SAM)卡送检指南V1.0》和《居民健康卡安全存取模块(SAM)卡检测规范V1.0》进行的检测。
SAM卡须进行城市编码、序列号的管理工作。
COS厂商应将通过检测的SAM卡芯片提交给具有准入资质的卡片制造商,进行封装。卡片制造商在进行卡片封装过程中,必须完成卡片序列号的卡面印刷。
芯片厂商应指导卡片封装和必要技术支持,COS厂商应提供卡片操作方法,供封装厂商实现质量控制,确保良品率。同时,还应提供复位应答信息和可操作的测试命令,供卡片造商在芯片封装后对卡进行测试,以便将封装过程中产生的坏卡及时筛除。 应用准备阶段。COS开发商通过安全的渠道将SAM卡的传输密钥交给卡片发行单位,以便发行机构能够替换卡片的传输密钥。同时,向发行机构提供创建SAM卡文件系统的接口服务程序或脚本文件。
卡片发行单位应该与卡片供应商一起完成发卡软件的编写,通过卡复位应答信息获取COS信息,从而调用相应的接口服务程序或脚本文件,对卡片完成个人化过程,即创建卡片文件结构、写入密钥及个人化数据。 卡片使用阶段。卫生部居民健康卡注册管理中心负责对SAM的发行和管理。省级居民健康卡注册管理中心,负责SAM卡的统一申领、发放和管理。省级居民健康卡注册管理中心根据业务需求确定购买SAM卡数量,提交申领文件,并派遣专人前往卫生部居民健康卡注册管理中心进行购买。
购买的SAM卡须在卫生部居民健康卡注册管理中心进行备案登记,主要登记SAM卡号、适用业务类型等信息。
(一)SAM卡的申领。使用单位申请办理SAM卡业务时,填写加盖使用单位公章的SAM卡申领表,到本地区所属居民健康卡注册管理中心进行申领。
各级居民健康卡注册管理中心SAM卡管理人员应尽快对申领表进行审批,确定发放的单位和数量。
(二)SAM卡的发放。各级居民健康卡注册管理中心SAM卡保管人员通知相应的使用单位到中心领取SAM卡,并做出库登记,记录其终端编号及应用的业务点、相关责任人等信息。使用单位领取SAM卡时须携带SAM卡终端前往,并在卡中心进行安全封装。
SAM卡的使用场所发生变更或损坏时,需要由使用单位提出申请,在所属居民健康卡注册管理中心进行变更登记或更换新卡。
使用单位使用伪造的、非本单位的、无权限的SAM卡产生的交易数据,将通过监督系统进行监控,并作为无效数据进行拒付处理。
监督系统应该按季度对SAM卡的应用进行统计分析,一旦发现存在长期不用的SAM卡,各级居民健康卡注册管理中心SAM卡保管人员应该对其进行跟踪和检查。
(三)SAM卡的跟踪和检查。各级居民健康卡注册管理中心SAM卡保管人员应定期对SAM卡的使用进行跟踪核查,需要不定期对使用单位各业务办理点的SAM卡进行检查。 卡片终止使用阶段。SAM卡因使用机构取消不再使用时,所属居民健康卡注册管理中心应提供注销功能。SAM卡因丢失或损坏时,所属居民健康卡注册管理中心应提供黑名单功能。为加强系统安全管理,要求使用单位将不再使用的卡退还所属居民健康卡注册管理中心。
当使用单位业务办理点取消或不再需要使用SAM卡时,需要由责任单位提出申请;在所属居民健康卡注册管理中心进行变更登记;将SAM卡入库。
使用单位的SAM卡完全失效不能使用时,必须将SAM卡交回所属居民健康卡注册管理中心,并通过逐级上报由卫生部居民健康卡注册管理中心统一报废。
使用单位的SAM卡被盗时,使用单位必须立即向所属居民健康卡注册管理中心报告,并进行注销申请,SAM卡号进入黑名单。补领卡时须提交申请到所属居民健康卡注册管理中心申请补领新卡。
(一)SAM卡丢失后的处理流程。立即启用备用SAM卡,使用单位将签字盖章填写完整的《卫生部居民健康安全存取模块(SAM)卡注销表》(表2)一式2份递交至居民健康卡服务网点办理正式的注销手续,居民健康卡服务网点受理后将SAM卡状态设为注销状态。
(二)SAM卡故障时的处理流程。SAM卡的故障排查参见《卫生部居民健康卡系统安全存取模块(SAM)卡和PIN码输入设备使用手册》。
使用单位携带损坏的SAM卡和一式2份签字盖章的《卫生部居民健康安全存取模块(SAM)卡申领发放表》(表1)和《卫生部居民健康卡系统安全存取模块(SAM)卡注销表》(表2)到居民健康卡服务网点。居民健康卡服务网点检测SAM卡,若确认SAM卡损坏,登记相关信息,注销损坏的SAM卡,将新的SAM卡发放给使用单位。
超过使用有效期限的SAM卡进行更换时,使用单位需支付相关费用。
(三)注销SAM卡的处理流程。使用单位被管理机构取消资格后,居民健康卡服务网点注销该单位的SAM卡并通知使用单位办理相关手续。
使用单位主动申请注销SAM卡,需携带原SAM卡和《卫生部居民健康安全存取模块(SAM)卡注销表》(表2)到居民健康卡服务网点办理注销手续。 本办法由中华人民共和国卫生部负责解释。 本办法自发布之日起施行。
附表1:卫生部居民健康安全存取模块(SAM)卡申领发放表
编号:
注:1.编号、安全存取模块(SAM)卡编号(权限)栏由密钥管理单位填写。
2.安装应用位置由使用单位填写。
3.本表一式2份,使用单位和密钥管理单位各留存1份。
使用单位名称 | |||
所属区县 | 管理部门 | ||
安全存取模块(SAM)卡管理员 | 联系电话 | ||
单位地址 | 单位医保编码 | ||
用途 | 数量(张) | ||
安全存取模块(SAM)卡用途 | 用于结算 | ||
居民健康卡受理终端 | |||
居民健康卡管理中心 | |||
| 总计张 | ||
安全存取模块(SAM)卡应用统计 | 安全存取模块(SAM)卡编号(权限) | 安装应用位置 | |
(如数量多,可另附安全存取模块(SAM)卡应用统计清单) | |||
申请单位盖章:申请人: | |||
日期: | |||
管理机构盖章:负责人: | |||
日期: | |||
经办人签字 : | |||
日期: | |||
附表2:卫生部居民健康安全存取模块(SAM)卡注销表
使用单位名称 | |||
所属区县 | 管理部门 | ||
安全存取模块(SAM)卡管理员 | 联系电话 | ||
单位地址 | 单位医保编码 | ||
安全存取模块(SAM)卡应用统计 | 安全存取模块(SAM)卡编号 | 安装应用位置 | 注销理由 |
□丢失 □损坏 | |||
□业务网点取消 | |||
□丢失 □损坏 | |||
□业务网点取消 | |||
□丢失 □损坏 | |||
□业务网点取消 | |||
(如数量多,可另附安全存取模块(SAM)卡应用统计清单) | |||
安全存取模块(SAM)卡归还数量 | |||
| 申请单位盖章:申请人: | |||
日期: | |||
| 管理机构盖章: 负责人: 日期: | |||
| 经办人签字: 注销时间:年月日时分 | |||
附件5:
居民健康卡产品检测管理办法
(中华人民共和国卫生部 2011年11月)
为了加强对中华人民共和国居民健康卡(以下简称居民健康卡)产品的管理,确保居民健康卡严格执行统一的技术标准,规范居民健康卡产品检测相关工作。依据《居民健康卡生产单位及产品备案管理办法》、《居民健康卡产品检测规范V1.0》,特制定本办法。
本办法中所指涉及检测的居民健康卡产品包括居民健康卡的芯片、卡片操作系统(COS)、成卡以及居民健康卡读写终端或读写模块(以下简称终端)等,不包括居民健康卡密钥管理系统。居民健康卡密钥管理系统检测管理办法另行制定。
本办法适用于各居民健康卡产品生产单位,各单位所提供的居民健康卡产品须通过卫生部指定的权威IC卡及终端检测机构(以下简称检测机构)的检测。
卫生部居民健康卡注册管理中心(以下简称注册管理中心)负责居民健康卡产品检测的管理和监督工作,并委托专业指定权威检测机构实施居民健康卡相关产品的检测,主要职责如下:(中华人民共和国卫生部 2011年11月)
(一)负责检测管理办法及规范的制定;
(二)受理申请单位提出的产品备案申请;
(三)依据本办法对申请单位的备案产品检测申请进行审核;
(四)组织产品备案检测及定期进行产品质量监督检测;
(五)监督检查产品备案检测情况;
(六)对通过审核的产品颁发居民健康卡产品备案证书;
(七)负责备案产品信息的出版、发布。 指定权威检测机构根据《居民健康卡用户卡及终端产品检测规范V1.0》、《居民健康卡安全存取模块(SAM)卡检测规范V1.0》对送检产品实施测试,并保证测试结果的准确性。主要职责如下:
(一)配合注册管理中心制定检测规范;
(二)配合注册管理中心明确送检要求;
(三)明确检测费用及检测周期,并知会注册管理中心;
(四)实施质量检测,并出具检测报告;
(五)定期向注册管理中心提交检测情况汇总报告。 产品生产单位应按本办法规定接受相关产品检测,主要工作如下:
(一)向注册管理中心提交产品备案检测申请;
(二)根据要求向指定权威检测机构提交相关产品资料及产品;
(三)配合指定权威检测机构开展检测;
(四)获取检测报告和居民健康卡产品备案证书。 提出产品备案检测申请的单位应符合《居民健康卡生产单位及产品备案管理办法》中规定的备案单位资质要求,并通过注册管理中心的审核。 申请检测产品的相关证明材料须通过注册管理中心审核,并获得注册管理中心审核同意进入备案测试流程的产品备案申请单,且送检产品信息与产品备案申请单信息一致。 申请检测单位在接到注册管理中心同意进入备案检测流程的产品备案申请单之日起,应在一个月内提交申请检测产品的样品及相关技术证明材料到指定检测机构。 产品测试费用由检测机构根据检测项目确定,申请单位检测前须与检测机构签订书面检测服务协议并交纳相关测试费用。 产品检测过程中,申请单位要安排专人配合检测机构的检测工作。 检测机构在收到符合要求的样品及相关技术证明材料后须在规定时间内按照产品检测标准完成检测。不同产品的检测周期要求如下:
(一)芯片产品检测周期为收到符合要求的样品及相关技术证明材料之日起15个工作日;
(二)卡片操作系统(COS)产品检测周期为收到符合要求的样品及相关技术证明材料之日起15个工作日;
(三)成卡封装检测周期为收到符合要求的样品及相关技术证明材料之日起15个工作日,成品卡检测周期为收到符合要求的样品及相关技术证明材料之日起22个工作日;
(四)IC卡读写终端或读写模块产品检测周期为收到符合要求的样品及相关技术证明材料之日起个20个工作日。 检测申请单位须在进入备案检测流程后6个月之内,负责向注册管理中心报送检测报告。 注册管理中心向通过资质审核和检测的产品发放居民健康卡产品备案通过通知书。 卫生部居民健康卡产品检测报告有效期为两年。备案产品在检测报告到期前,须重新进行检测。检测通过后,向注册管理中心提交检测报告,否则将取消该型号的备案产品在居民健康卡项目中的应用资格。 已通过检测的产品,在检测报告有效期内,注册管理中心将对该产品的质量与安全性进行不定期抽查,并有权委托检测机构对批量生产的产品进行随机抽样质量检测。 本办法由中华人民共和国卫生部负责解释。 本办法自发布之日起施行。
附件:居民健康卡产品检测流程(图略)
