ASTM E2212-02a(2010)
健康管理证书政策的实施规程
Standard Practice for Healthcare Certificate Policy
2017-01
- 标准号
- ASTM E2212-02a(2010)
- 发布
- 2002年
- 发布单位
- 美国材料与试验协会
- 当前最新
- ASTM E2212-02a(2010)
- 引用标准
- ASTM E2084 ASTM E2086
- 适用范围
- 这种做法定义的政策是从医疗保健依赖方的角度编写的。它定义了一组要求,以确保医疗保健组织和个人用于身份验证、授权、机密性、完整性和不可否认性的健康信息的证书具有最低限度的足够保证级别。该政策定义了医疗保健公钥基础设施,可用于实施其他 ASTM 标准,包括规范 E2084 和指南 E2086。实施满足策略每项要求的过程的 CA 应在其证书内的适当字段中引用策略的 OID。依赖方可以将策略的 OID 包含在内视为发证 CA 已符合策略的要求,并且引用策略的 OID 的证书可用于医疗保健目的。不遵守策略所有规定的 CA 不得在其证书中断言策略的 OID。遵守除有限数量条款外的所有条款的 CA 可以在其自己的政策中引用该政策,前提是它明确说明了具体的偏差。例如,医疗保健组织可能运行一个符合基本个人证书类别的所有规定的内部 CA,但它对 CA 签名者密钥使用了不合规的加密模块。组织可能希望使用该策略作为与外部依赖方建立信任的基础。虽然它可能不会使用 OID 直接断言此策略,但它可能会在文档中引用该策略,其中包含解释其为保护 CA 签名密钥完整性所采取的措施的声明。希望促进交叉信任关系的依赖方或 CA 必须进行自己的风险分析,以确定修改后的策略是否足以满足建议的用途。这种评估虽然不像基于完全合规的评估那么容易,但通过将政策视为判断修改的参考标准,应该会大大促进这种评估。证书和证书颁发过程至少可以在三种不同的方面有所不同。最常被引用的变化是关于保证的。保证级别根据注册、密钥生成、证书颁发、证书吊销和私钥保护中应用的尽职程度而有所不同。所需的保证级别取决于与潜在危害相关的风险。除其他外,联邦 PKI 将保证分为三类。基本保证几乎不涉及对注册过程或密钥安全的控制。联邦 PKI 认为基本保证不适合医疗保健用途。中等保证涉及注册过程中更高程度的尽职调查,并需要对 CA 密钥进行数量控制。中等保证专为中等风险应用程序而设计。高保证增加了对 CA 和订户密钥的额外控制以及发行过程中角色的仔细划分。这些新增内容使高保证证书更适合高风险应用。证书还可以根据其身份与证书绑定的实体的类型而变化。最后,证书通常用适当和不适当的用途来描述。该策略没有根据保证级别来定义证书。相反,它定义了三类证书(实体、基本个人和临床个人),这些证书的主要预期用途或目的以及预期订户类型有所不同。这三个证书类别是有序的,以便临床个人证书......