人社廳函[２００８]２００號

　　各省、自治區(qū)、直轄市人事、勞動保障廳 （局），新疆生產(chǎn)建設(shè)兵團(tuán)人事、勞動保障局：

　　為進(jìn)一步提高社會保障卡的安全管理水平，保護(hù)持卡人的合法權(quán)益，創(chuàng)造安全便捷的用卡環(huán)境，現(xiàn)就加強(qiáng)社會保障卡密鑰安全管理的有關(guān)事項(xiàng)通知如下：

　　一、提高對社會保障卡密鑰安全的認(rèn)識

　　社會保障卡密鑰是確保社會保障卡卡內(nèi)信息安全，防止社會保障卡被偽造、篡改的技術(shù)基礎(chǔ)，加強(qiáng)對社會保障卡密鑰的管理，保證密鑰安全，事關(guān)廣大持卡群眾的切身利益以及人力資源勞動保障部門的整體形象，對于有效發(fā)揮社會保障卡的作用，切實(shí)使社會保障卡成為 “安全卡”和 “放心卡”，具有重要的意義。各地區(qū)、各有關(guān)部門要高度重視，加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任，確保社會保障卡密鑰的安全管理和使用。

　　二、切實(shí)實(shí)行全國統(tǒng)一的社會保障卡密鑰管理體系

　　各地發(fā)行社會保障卡，應(yīng)嚴(yán)格按照 《社會保障卡建設(shè)總體規(guī)劃》（勞社部函 〔１９９８〕２１３號）和 《社會保障 （個人）卡安全要求》（勞社廳函 〔２０００〕７６號）的有關(guān)規(guī)定，采用全國統(tǒng)一的密鑰管理體系。各地在完成發(fā)卡注冊后，應(yīng)按照 《社會保障卡密鑰申領(lǐng)流程》（勞社信息函 〔２００３〕１４號）規(guī)定，向我部申領(lǐng)密鑰，并按照 “一卡一密”的原則分散加載到社會保障卡中。其中，存儲和管理密鑰的加密機(jī)須采用經(jīng)我部檢測通過、符合社會保障卡規(guī)范要求、具有國家密碼管理局頒發(fā)的 《商用密碼產(chǎn)品型號證書》的社會保障卡專用加密機(jī)。

　　三、加強(qiáng)對密鑰載體的管理

　　發(fā)行社會保障卡的地區(qū)，應(yīng)將社會保障卡專用加密機(jī)、主控密鑰卡、密鑰母卡、傳輸密鑰卡等密鑰載體，作為密碼設(shè)備和涉密載體，妥善進(jìn)行管理。應(yīng)建立嚴(yán)格的規(guī)章制度，將密鑰載體保管、使用等環(huán)節(jié)，全部納入制度化軌道。要實(shí)行密鑰管理責(zé)任人制度，密鑰管理人員應(yīng)符合機(jī)要人員條件，負(fù)責(zé)上述密鑰載體的具體管理和操作，其他人員未經(jīng)批準(zhǔn)不得擅自使用。責(zé)任人變動時，應(yīng)將密鑰載體和完整的技術(shù)材料交給接任人員，并做好交接培訓(xùn)。因卡片個人化等原因確需將上述設(shè)備移交給卡商等第三方進(jìn)行使用時，應(yīng)做好交接記錄，簽署保密協(xié)議，并對第三方的使用情況進(jìn)行監(jiān)督。

　　四、保證ＰＳＡＭ卡的安全使用

　　發(fā)卡地區(qū)從我部申領(lǐng)安全訪問控制模塊 （ＰＳＡＭ 卡）后，應(yīng)按照批次、終端機(jī)編號、及交由的具體使用單位 （如定點(diǎn)醫(yī)療機(jī)構(gòu)等）進(jìn)行登記，以備檢查核對。ＰＳＡＭ 卡在日常使用時應(yīng)內(nèi)嵌、封閉于讀卡器等讀寫終端內(nèi)部的卡槽當(dāng)中，不得將其以外插等形式直接暴露在外。各發(fā)卡地區(qū)應(yīng)加強(qiáng)對ＰＳＡＭ 卡使用單位的安全培訓(xùn)和現(xiàn)場檢查，保證用卡環(huán)境安全。因ＰＳＡＭ 卡損壞、服務(wù)網(wǎng)點(diǎn)取消等原因，ＰＳＡＭ 卡無法或不再使用時，應(yīng)及時收回、銷毀，并做好記錄，不得隨意丟棄。

　　五、妥善處理密鑰管理中出現(xiàn)的安全問題

　　發(fā)卡地區(qū)在社會保障卡發(fā)行和使用中如出現(xiàn)密鑰安全問題，應(yīng)視情況及時、妥善地加以解決。加密機(jī)出于對各類攻擊的防護(hù)而對其存儲的密鑰進(jìn)行自毀的，發(fā)卡地區(qū)可自行利用統(tǒng)一配發(fā)的密鑰管理系統(tǒng)，通過系統(tǒng)的密鑰恢復(fù)功能，從密鑰母卡中將密鑰重置到加密機(jī)中；密鑰母卡、傳輸密鑰卡等我部統(tǒng)一配置的密鑰存儲介質(zhì)因故損壞、無法修復(fù)的，應(yīng)將損壞的介質(zhì)交還我部，由我部予以更換。各地應(yīng)采取有效措施，避免出現(xiàn)加密機(jī)及其他密鑰存儲介質(zhì)遺失等安全事故，凡有遺失必須立即報告上級勞動保障部門及我部信息中心，同時要查明原因，根據(jù)國家關(guān)于安全保密的有關(guān)規(guī)定做出處理。其中，加密機(jī)遺失或密鑰母卡與傳輸密鑰卡同時遺失的，須將原密鑰廢止，向我部申請重新分散密鑰；對于已發(fā)出的社會保障卡，要立即用基于新密鑰的卡予以更換。

　　人力資源和社會保障部辦公廳

　　二○○八年八月五日