药企智能煎药管理平台开展等保测评

       智能煎药对接医院的HIS（医院管理信息系统）是一个重要的发展趋势，旨在提高煎药过程的自动化、智能化水平，同时确保药品质量和患者用药安全。为了保障信息系统的安全性，保护患者的个人信息和隐私数据不泄露，保障系统对接稳定与安全，所有中药材企业的“智能化煎药管理平台”都要与医院的HIS系统进行对接。都要开展网络安全等级保护测评及相关的安全检测服务。

那么什么是等级保护2.0呢？

       等保2.0，即《网络安全等级保护制度2.0》，是中国政府为了加强网络信息安全而制定的一套标准和规范。其测评重点涵盖多个方面，以下是对等保2.0测评重点的详细归纳：

一、物理和环境安全

• 机房物理环境：主要关注机房的物理位置选择、温湿度控制、防盗、防火、防潮、防水、防雷击、电力供应（如要求具备双路并行电力线路，来自不同供电站的电缆）、电磁防护等方面的要求。确保服务器房间、设备存储区域等得到适当的物理保护。

• 物理访问控制：应配置电子门禁系统，控制、鉴别和记录进入的人员。对于重要区域，应配置第二道电子门禁系统。

• 防静电措施：应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

二、网络和通信安全

• 网络结构：涉及广域网、局域网、城域网等网络环境的测评，主要关注网络的内网设置、传输加密等安全措施。

• 通信传输：应在通信前基于密码技术对通信的双方进行验证或认证（四级）。使用HTTPS或其他安全协议进行数据传输，确保通信过程中的数据安全。

• 可信验证：强化可信计算技术的应用，确保通信双方的身份可信。

三、设备和计算安全

• 身份鉴别：对设备和计算环境中的用户身份进行鉴别，确保用户身份的真实性。

• 访问控制：实施严格的访问控制策略，确保用户只能访问其授权范围内的功能和数据。

• 安全审计：启用安全审计功能，记录用户对设备和计算环境的操作行为。

• 恶意代码防范：采取技术措施防范恶意代码的传播和感染。

四、应用和数据安全

• 应用安全性：关注应用系统的漏洞管理、安全更新等方面的要求，确保应用系统的安全性。

• 数据加密：对敏感信息如用户身份信息、支付信息等在传输和存储过程中进行加密保护。

• 数据完整性：保证数据在传输过程中的完整性和真实性，防止数据被篡改或伪造。

• 数据备份与恢复：提供异地实时备份功能，确保在发生重大安全事件时能够快速恢复数据。

五、安全策略和管理制度

• 安全策略：制定和完善信息安全策略，包括安全组织架构、安全管理制度、安全操作规范等。

• 管理制度：建立和执行严格的管理制度，包括人员录用、培训、离岗等方面的管理，确保安全管理机构和人员的专业性和有效性。

六、安全管理机构和人员

• 安全管理机构：设置专门的安全管理机构，负责网络安全的整体规划和实施。

• 安全人员：配备专业的安全人员，负责网络安全的日常管理和应急响应。

七、安全建设管理

• 定级备案：按照等级保护制度的要求，对信息系统进行定级和备案。

• 方案设计：设计符合等级保护要求的安全方案。

• 设备采购：购买符合安全标准的安全设备。

• 软件开发：自行或外包开发符合安全要求的软件。

八、安全运维管理

• 漏洞管理：定期进行漏洞扫描和修复，确保系统的安全性。

• 安全更新：及时更新系统和软件的安全补丁，避免已知安全问题的影响。

• 事件响应：建立健全的应急响应机制，能够迅速应对安全事件，减少损失。

九、新兴技术领域的安全扩展要求

• 云计算平台：对云计算平台的安全性提出具体要求，包括数据保护、访问控制等方面。

• 大数据：关注大数据处理过程中的数据安全和隐私保护。

• 物联网：对物联网设备的安全性进行测评，确保物联网系统的稳定运行。

• 移动互联：针对移动互联网应用的安全性进行测评，包括应用程序的安全性、数据传输的安全性等方面。

       综上所述，等保2.0的测评重点涵盖了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理以及新兴技术领域的安全扩展要求等多个方面。这些测评重点旨在确保信息系统的安全性、稳定性和可用性，提升网络安全防护能力。