编制说明-《中华人民共和国社会保障卡一卡通规范 第3部分：安全规范》（征求意见稿)20231107 0730.docx

中华人民共和国社会保障卡一卡通规范第3部分：安全规范推荐性国家标准（征求意见稿）编制说明一、工作简况1 .任务来源根据国家标准制修订计划£国家标准化管理委员会关于下达2020年第四批推荐性国家标准计划的通知（国标委发（2020）53号）要求，中华人民共和国社会保障卡一卡通规范推荐性国家标准包括四个部分：第1部分：基础规范、第2部分：应用规范、第3部分：安全规范、第4部分：终端规范，由人力资源和社会保障部提出，由全国信息技术标准化技术委员会（SACrrC28）归口，由人力资源和社会保障部信息中心牵头，计划编号分别为:20205094-T-317、2O2O5O96-T-317、2O2O5O95-T-317、2O2O5O93-T-317。2 .制定背景2020年8月20日，习近平总书记在扎实推进长三角林化发展座谈会上作出“要探索以社会保障卡为载体建立居民服务'卡通，在交通出行、旅游观光、文化体验等方面率先实现同城待遇'”的重要指示要求。2018年以来，党中央、国务院在海南全面深化改革开放、雄安新区全面深化改革和扩大开放、深圳建设社会主义先行示范区、新时代西部大开发、成渝地区双城经济圈、贵州四新路等指导文件中，均提出建立（形成、推广、完善）以社公保障卡为载体的“一卡通股务管理模式。3 .标准编制的主要成员单位2020年12月，由人力资源和社会保障部信息中心组织，初步成立标准编制工作组，启动相关编制研究工作，并于2023年2月进一步扩充人员形成目前标准编制工作组：确定由人力资源和社会保障部信息中心、中国人民银行科技司、中国标准化研究院、中国电子技术标准化研究院、国家电子计算机质量监督检验中心、北京惟望科技发展有限公司、金保信社保卡科技有限公司、北京中电华大电子设计有限货任公司、大唐微电子技术有限公司、紫光同芯微电子有限公司、上海亚旦微电子集团股份有限公司、楚天龙股份有限公司、东信和平科技有限公司、广东德生科技股份有限公司、金邦达有限公司、武汉天喻信息产业股份仃限公司、深圳市德卡科技股份有限公司、深圳市明泰智能技术有限公司、广州江南科友科技股份有限公司、中电科网络安全科技股份有限公司、普华诚信信息技术有限公司、北京国信博飞科技发展有限公司、中国电子科技集团公司第I五研究所、东软集团股份有限公司、易联众信息技术股份有限公司、万达信息股份有限公司、四川久远银海软件股份有限公司、广州华资软件技术有限公司、山大地纬软件股份有限公司等单位参与本文件的制定工作。本文件最终起草单位和主要起草人待研究确定。4 .主要工作过程2020年12月2023年1月，由标准牵头单.位人力资源和社会保障部信息中心组织标准编制主要成员单位，根据社会保障卡居民服务“卡通”建设工作成果，结合第三代社会保障卡和电子社会保障卡行业规范研究，编制并形成了4个推荐性国家标准初稿。2023年2月9日,人力资源和社会保障部信息中心以线上会议形式组织“开标准编制工作推进会议，会上标准牵头单位介绍了标准总体内容设计并充分听取了各方专家对国标内容设计的建议在前期初稿编制基础上，依据4个标准分别成立4个标准编制工作小组，明确4个组长单位，并确定标准编制整体安排，开展本文件的研究编制工作。2023年3月.人力资源和社会保障部信息中心组织召开标准草稿两次全体线上讨论会，对标准草稿讨论并提出修改意见。主要包括如下：第I部分：基础规范，修改总体框架设计图，强化渠道部分内容，并将第2部分基础支撑相关的内容整合到第I部分：第2部分：应用规范，筒化部分内容：第3部分：安全规范，平台安全章节补充基础支撑安全要求，数据安全章节结合人社行业情况编制，并深度结合一卡通应用业务过程中的安全要求等，第三方服务安全章节增加人员安全内容等：第4部分：终端规范，增加“附录C：一卡通终端管理系统”内容，在第六章增加更合终端类型内容等。标准编制工作组对信息系统等级保护要求引用情况、是否涉及关键基础设施等情况进行确认。会后标准编制工作组根据意见进行修改。2023年3月27日一31日,人力资源和社会保障部信息中心组织社会保障卡居民服务“一卡通”应用试点地区、标准编制工作组，在广州开展标准编制调研馁第一次全体线下集中研讨工作。会前标准编制工作组参考了各地各行业已有相关标准，梳理/标准问题清单。研讨过程中，大家充分讨论目前标准存在的问题：试点地区参会人先针对标准应用实施落地情况进行答疑，并对标准提出修改意见：标准编制工作组现场、会后根据意见进行研讨、修改。2023年4月,人力资源和社会保障部信息中心组织召开标准草稿两次全体线上讨论会，集中梳理第一次集中研讨过程中大家提出的意见和修改方向。会后标准编制工作组根据意见进行修改。2023年5月19日，人力资源和社会保障部信息中心第一次发函正式征求各地省级人社部门意见，21个省份反馈无意见，I1.个省份反馈有意见。之后，标准编制工作组根据各地反饿汇总的85条意见建议进行研讨及采纳评估，其中采纳35条、部分采纳10条、不采纳40条，并对标准草稿进行r修改.2023年6月29日一30日，人力资源和社会保障部信息中心组织标准编制工作组在北京开展第二次全体线卜集中研讨工作。会上对标准初稿再次进行全面梳理，会后标准编制工作组共同讨论处理中心领导及各家单位提出的意见，并再次进行修改。2023年7月25日，人力资源和社会保障部信息中心第二次发函正式征求中国人民银行、部分社会保障卡相关服务银行及中国银联、人力资源和社会保障部相美司局及直属单位、各地省级人社部门的意见。之后，标准编制工作组根据各地反馈汇总的63条意见建议进行研讨及采纳评估，其中采纳37条、部分采纳8条、不采纳18条，并对标准草稿进行了修改。2023年9月8日，人力资源和社会保障部信息中心组织召开标准草稿全体线上讨论会，重点研讨第二次征求意见各方反馈的意见和卜一步工作安排。会后标准编制工作组根据意见对标准征求意见稿进行了修改，形成第二次征求意见处理后的征求意见稿。2023年9月21日，人力资源和社会保障部信息中心在京组织标准征求意见稿专家论证。2023年IO月12日一以日，人力资源和社会保障部信息中心组织召开标准征求意见稿全体线上讨论公，重点研讨专家论证意见和下一步工作安排。会后标准编制工作组根据意见对标准征求意见稿进行了修改，形成目前版本的征求意见稿。二、标准编制原则和确定主要内容的依据及解决的主要问题1 .编制原则本文件按照GBH1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。标准编制遵循“科学性、实用性、统性、规范性'的原则，同时考虑安全性、兼容性、可扩展性及线上线卜支撵能力，根据国标委发(2020)37号文件要求，并按照全国信息技术标准化技术委员会章程中标准制修订工作程序的要求开展工作。2 .确定主要内容的编制依据£中华人民共和国社会保障卡一卡通规范推荐性国家标准采用自主研制方式，对社会保障卡一卡通体系技术要求进行规定，由四个部分构成：第I部分：基础规范。目的在丁规定社会保蹿卡一卡通的基础要求，包括社会保障卡一卡通的体系架构、载体要求、服务渠道及基础支撑要求等内容。第2部分：应用规范。目的在于规定社会保障卡卡通的应用要求，包括社会保障卡一卡通的应用平台、应用场景、应用流程、应用平台接入技术要求、应用平台接入工作潦程、应用协作及推广要求等内容。第3部分：安全规范。目的在于规定社会保障卡一卡通的安全要求，包括社会保障卡一卡通的安全体系架构、载体安全耍求、终端安全要求,应用平台安全要求、数据安全要求及密钥安全要求等内容。第4部分：终端规范。目的在于规定社会保障卡一卡通的终端要求，包括社会保障卡一卡通的终端形态、终端通用要求、终端技术要求等内容。本文件是中华人民共和国社会保障卡卡通规范国家标准的第3部分，本标准编制依据人力资源和社会保障部行业标准1.D/T322015圻士会保障卡规范和1.D/T332015社会保障卡读写终端规范的基础上进行编制，将第三代社会保障卡、电子社会保障卡有关技术内容融入进去，并重点明确目前一卡通应用推广所需规范的载体安全、终端安全、应用平台安全等内容。3 .主要技术内容本文件主要技术内容包括如卜丁社会保障卡一卡通载体安全要求。规定/实体社会保障卡数据和密钥安全、电子社会保障卡功能和认证安全要求等：社会保障卡一卡通终端安全要求.规定了终端安全管理制度、终端接入管理、安全认证管理、安全事件管理、黑名单管理、安全检查、终端硬件安全、终端软件安全、终端用卡安全等：社会保赭卡一卡通应用平台安全要求。规定了安全管理制度、机构和人员管理、系统建设管理、安全运维管理、物理环境、网络通信、区域边界、应用运行环境、一卡通应用安全、基础支掾系统安全和接入安全等：一一社会保降卡一卡通数据安全要求。规定r一卡通数据在收集、传输、存储、加工和使用、提供、公开、侑毁等擅个环节中的安全要求：一一社会保障卡-卡通密钥安全要求。规定了密钥管理、社会保障PSAM卡管理、硬件密钥设备安全、社会保障卡密钥管理系统安全、卡载体密钥安全、终端密钥安全等。4 .解决的主要问题本文件规定了社会保障卡卡通的安全要求，规葩了卡通我体、卡通终端、一卡通应用平台、一卡通数据、一卡通密钥各方面涉及的安全问题。通过标准制定、发布、实施，能够从标准层面指导和规范一卡通体系贵任方、建设方、运营部门等有序安全开展一卡通工作，促使各方充分重视安全，加强信息安全建设和管理，提升了社会保障卡一卡通在体系设计、开发、集成、维护及运营等环节的安全水平，对提高一卡通体系安全性、满足监管及法律法规安全要求具有重要作用，为一卡通业务持续、稳定、合规开展保驾护航。四、知板产权情况说明本文件不涉及知识产权问题。五、产业化情况、推广应用论证和侬达到的经济效果(一)产业化情况中华人民共和国社会保障卡是目前我国唯一带有国徽标识的政府公共服务卡，包括实体、电子两种形态，支持线上线下服务应用，具有身份凭证、信息记录、臼助杳询、就医结算、缴镀和待遇领取、金融支付6大功能，我国居民和符合条件的境外人员均可申领.实体社会保障卡于1999年在上海首发，已实现三次升级，目前在用的主要为具有金融功能的第二代、第：代社会保陈卡.截至2023年10月底，全国持卡人数达13.78亿人，覆盖97.6%人口利所有地区,其中98%的社会保障卡均具有金融功能“实体社会保障卡持卡人同时默认拥有一张电子社会保障卡。自2018年开通电子社会保障卡股务以来.8.84亿的群众己在手机中领用，申领电子社会保障卡人口覆盖率626%，开通92项全国服务和MK）O余项各省市属地联务，2（）22年提供服务112.85亿次.（二）推广应用论证2020年8月20日，习近平总书记在扎实推进长三角林化发展座谈会上作出“耍探索以社会保障卡为载体建立居民服务'一卡通，在交通出行、旅游观光、文化体验等方面率先实现同城待遇”的重要指示要求。2018年以来，党中央、国务院在海南全面深化改革开放、维安新区全面深化改革.和扩大开放、深圳建设社会主义先行示范区、新时代西部大开发、成渝地区双城经济网、贵州闯新路等指导文件中,均提出建立（形成、推广、完善）以社会保障卡为载体的“一卡通”服务管理模式“2021年底，中央网信办印发（“十四五”国家信息化规划3.进一步提出建立居民服务“一卡通”有关要求。社会保障卡居民服务“一卡通”已成为我国民生服务的IR要发屣方向。近两年，国办及部委联合发文，进一步明豳了政府公共服务“一卡通”要求，推动实现社会保障卡在人力资源社会保障、就医购药、政务服务、惠民惠农补贴资金发放、交通出行、文化旅游、老年人服务、残疾人服务、助学金发放等领域应用。2020年I1.月，人力资源社会保降部印发d人力资源社会保障信息化便民服务创新提升行动方案（人社部