高紅玉

（國藥集團山西有限公司 山西省太原市 030012）

1 引言

醫(yī)藥零售大藥房連鎖企業(yè)以互聯(lián)網(wǎng)為依托，對線上服務、線下體驗以及現(xiàn)代物流進行深度融合，進而重塑業(yè)態(tài)結(jié)構(gòu)與生態(tài)圈，這種新型零售服務與每個人的生活息息相關，電商交易系統(tǒng)不僅存在海量的用戶敏感數(shù)據(jù)，而且直接涉及到資金交易。因此，醫(yī)藥連鎖藥店行業(yè)面臨多種多樣的安全威脅。

隨著醫(yī)保發(fā)〔2021〕28 號《國家醫(yī)保局 國家衛(wèi)生健康委 關于建立完善國家醫(yī)保談判藥品“雙通道”管理機制的指導意見》下發(fā)后，首次從國家層面提出完善雙通道管理政策，并明確用遴選方式選擇定點藥店。國家醫(yī)保函〔2021〕182 號《國家醫(yī)保局 國家衛(wèi)生健康委關于適應國家醫(yī)保談判常態(tài)化持續(xù)做好談判藥品落地工作的通知》明確要求2021年10 月底前，確定藥品目錄；2021 年11 月底前，每地市至少有1 家“雙通道”藥店。國家雷霆之勢下，各省積極響應，雖然醫(yī)院處方流轉(zhuǎn)模式不一，有省醫(yī)保信息平臺電子處方流轉(zhuǎn)，有外接第三方信息平臺流轉(zhuǎn)，還有部份紙質(zhì)流轉(zhuǎn)，但順應“雙通道”、處方外流成為大趨勢。眾所周知，醫(yī)院的信息化建設具有一定特殊性，醫(yī)療信息涉及個人隱私，而新零售模式下，零售連鎖藥店零售服務及健康管理平臺系統(tǒng)包括了許多“醫(yī)”和“藥”對接的信息。在信息安全體系建設方面，大多數(shù)企業(yè)未對信息系統(tǒng)和基礎設施進行有效的安全評估，安全與合規(guī)因素方面考慮不周全，這些都為互聯(lián)網(wǎng)背景下零售連鎖企業(yè)的信息安全保護工作帶來了極大的挑戰(zhàn)。為進一步提高認識，切實執(zhí)行國家有關法律法規(guī)，落實網(wǎng)絡安全等級保護制度和定期對應用系統(tǒng)和基礎設施進行安全測試和評估監(jiān)測，本文結(jié)合國藥山西國康大藥房連鎖有限公司信息安全建設的具體實踐進行研究，供同行借鑒。

2 互聯(lián)網(wǎng)+背景下連鎖藥店信息安全面臨的挑戰(zhàn)

2.1 更加嚴峻的網(wǎng)絡環(huán)境

網(wǎng)絡安全關乎國家安全，作為發(fā)展中大國，我國的網(wǎng)絡安全形勢異常嚴峻。當前，各零售連鎖企業(yè)堅持零售診療發(fā)展戰(zhàn)略定力，加速網(wǎng)絡布局，承接醫(yī)療機構(gòu)處方外流的市場機會。連鎖藥房基于互聯(lián)網(wǎng)進行業(yè)務開展的同時，接入了連鎖總部專線和省市醫(yī)保專線，形成網(wǎng)絡結(jié)構(gòu)較為復雜的場景，連接互聯(lián)網(wǎng)本身就使得公司網(wǎng)絡暴露在外部風險之下，特別是患者的基本信息、結(jié)算信息等關鍵信息的存在，網(wǎng)絡經(jīng)常會受到攻擊。近年來，互聯(lián)網(wǎng)醫(yī)院還包括了在線復診、在線處方、檢查預約、藥品配送等功能。與傳統(tǒng)的醫(yī)藥零售服務系統(tǒng)相比，互聯(lián)網(wǎng)+背景下連鎖藥店提供的系統(tǒng)功能更多，需要集成的信息系統(tǒng)數(shù)量、外部接口數(shù)量、暴露在互聯(lián)網(wǎng)上的消費者敏感信息也越來越多。嚴峻的網(wǎng)絡環(huán)境給連鎖藥房的網(wǎng)絡信息系統(tǒng)安全帶來了極大的挑戰(zhàn)。

2.2 系統(tǒng)的復雜性增強

連鎖藥房從經(jīng)營模式上分為DTP 藥房(特藥藥房）、院邊藥房（主要用于承接醫(yī)院處方及慢性病管理服務）；社區(qū)藥房（承接社區(qū)醫(yī)院門診藥房功能，以社區(qū)為單位進行全民健康覆蓋）；5+x 藥房（大型藥房涵蓋西藥、中藥、中醫(yī)、西醫(yī)、醫(yī)療器械+多元化健康服務）；從連鎖管理及產(chǎn)權(quán)結(jié)構(gòu)又分為：連鎖直營門店、連鎖加盟店、連鎖管理下的獨立法人店。

經(jīng)過20 年的發(fā)展，我國醫(yī)藥連鎖企業(yè)信息化取得巨大成就，信息技術與零售經(jīng)營業(yè)務、醫(yī)療業(yè)務深度融合，信息子系統(tǒng)的數(shù)量龐大，涉及連鎖藥店日常運營的方方面面。

在醫(yī)保接口方面，業(yè)務要求是與醫(yī)保平臺進行業(yè)務對接和數(shù)據(jù)交互，滿足醫(yī)保業(yè)務的正常開展以及對各種服務管理的需求。具體功能包括：醫(yī)保目錄下載、讀卡結(jié)算、費用查詢、小票打印、月度結(jié)算等。

在處方管理方面，業(yè)務要求是處方獲取，通過手工錄入、高拍儀掃描存檔、服務對接外部平臺等。職業(yè)藥師遠程審方，遠程登錄系統(tǒng)后，通過指紋驗證審方，在POS 界面調(diào)取處方，進行銷售收款，并提供配送管理。

在藥學服務方面，要建立基礎數(shù)據(jù)，包括疾病類別、藥品類別及內(nèi)容、患者基本信息、病歷檔案和用藥評估。還要進行回訪治療，如日常咨詢、用藥干預和不良反應管理、回訪管理、工單管理等。

近年來為滿足連鎖藥店互聯(lián)網(wǎng)業(yè)務發(fā)展和便捷操作，信息技術部門進行了多次面向服務的開發(fā)，例如，通過互聯(lián)網(wǎng)電子商務平臺接口，實現(xiàn)電商訂單直接轉(zhuǎn)入ERP 系統(tǒng)，便于網(wǎng)絡訂單結(jié)算和統(tǒng)計；通過專線進行省市醫(yī)保接口對接，實現(xiàn)系統(tǒng)直接進行醫(yī)保結(jié)算，縮短顧客醫(yī)保結(jié)算時間；通過接入互聯(lián)網(wǎng)醫(yī)院，實現(xiàn)電子處方訂單及時售藥及配送等。這些功能的實現(xiàn)使連鎖藥店核心ERP 系統(tǒng)有眾多連接，形成了接口多、設計結(jié)構(gòu)復雜的系統(tǒng)架構(gòu)。

2.3 互聯(lián)網(wǎng)+背景下連鎖藥房面臨的信息安全風險及特點分析

在互聯(lián)網(wǎng)背景下，連鎖藥店在提供藥學服務的同時，患者的個人信息、身份信息都需要通過互聯(lián)網(wǎng)進行傳輸同時診療過程中的人臉信息、病歷信息、隱私信息也都通過互聯(lián)網(wǎng)進行傳輸，存在較大的信息安全和數(shù)據(jù)泄露隱患。

當下連鎖藥店的建設模式大致分為本地建設及云服務模式兩種。本地建設的方式為將系統(tǒng)部署在本地，通過配置內(nèi)外網(wǎng)之間的安全策略實現(xiàn)與內(nèi)部核心系統(tǒng)的交互。藥店這種打破了原本純內(nèi)網(wǎng)結(jié)構(gòu)模式的行為加劇了信息安全的風險，同時患者個人隱私信息、診療信息的數(shù)據(jù)安全也將面臨巨大的泄露風險。因此除了面臨的傳統(tǒng)架構(gòu)上的網(wǎng)絡安全風險外，對患者隱私、診療信息等敏感數(shù)據(jù)的保護更為迫切。

連鎖藥店管理半徑擴大至全省范圍，且總部IT 運維人員只有幾個人，運維工作量急劇增加；個人加盟店數(shù)量快速增加，分支門店IT 運維能力薄弱，且無法承擔復雜的組網(wǎng)部署操作，部署上線緩慢；直營旗艦店工作人員上網(wǎng)行為難以管控。此外，連鎖藥店在提貨、轉(zhuǎn)賬、醫(yī)保類應用方面采用互聯(lián)網(wǎng)傳輸安全性低。無論是個人加盟店，還是直營旗艦店，都需要訪問到連鎖總部端的提貨轉(zhuǎn)賬、收銀、醫(yī)保結(jié)算應用，會員信息、銷售數(shù)據(jù)、物流配送信息、客戶社保信息此類重要數(shù)據(jù)基于互聯(lián)網(wǎng)傳輸面臨著泄露、篡改的風險。

2.4 參與者信息安全意識薄弱

總結(jié)過去發(fā)生的安全事件，首要因素是安全意識的錯位，事后補救而不是事前監(jiān)控和預防，把內(nèi)網(wǎng)隔離等同于安全，缺乏對數(shù)據(jù)進行定期備份的意識以及安全責任的缺位，導致參與者對信息安全意識整體薄弱。連鎖藥店進行零售服務及健康管理的應用場景越發(fā)豐富多彩，勢必會導致沒有信息安全就沒有醫(yī)藥零售服務的業(yè)務安全。同時，連鎖藥店在加速門店擴張的過程中，同樣面臨一系列的網(wǎng)絡運維難題：參與管理和使用連鎖藥店信息系統(tǒng)的許多人，對信息安全的認識不深，危機意識、緊迫意識、參與意識不強，導致制度落實不到位、管理手段不執(zhí)行。還有些參與者擺脫不了傳統(tǒng)的思維模式，不能正確使用網(wǎng)絡。這些問題都給信息安全管理工作帶來了極大的挑戰(zhàn)。

3 連鎖藥店信息安全的對策分析

筆者所在的公司經(jīng)過對零售連鎖信息管理平臺系統(tǒng)進行現(xiàn)狀調(diào)研和評估，確立了等級保護建設路徑。在設計階段，全面識別安全風險及安全需求，進行差距分析和風險評估，提出符合內(nèi)部發(fā)展和外部監(jiān)管相結(jié)合的安全方案，進行系統(tǒng)定級備案。在整改建設階段，通過安全管理、安全防御、安全響應、安全運維能力建設，基于等級保護和其它合規(guī)要求，對現(xiàn)有系統(tǒng)進行安全整改，建立起安全防護體系框架。

3.1 建立健全信息安全的組織及制度體系

由于連鎖藥房信息系統(tǒng)依托于互聯(lián)網(wǎng)，其體系結(jié)構(gòu)上就存在著開放、脆弱、易受攻擊等安全缺陷；而門店使用用戶密集且活躍、各種網(wǎng)絡應用非常普及，這些都使得網(wǎng)絡的安全管理更為復雜和困難。本著技術和管理相輔相成的建設理念，圍繞著“依托技術優(yōu)勢、規(guī)范管理制度和健全保障體系”的建設方針，逐步建立起一套比較完整的連鎖藥房信息化安全保障體系（如圖1），力爭從網(wǎng)絡環(huán)境、應用系統(tǒng)和信息資源等多方面保障連鎖藥房管理信息化應用的正常運行。

圖1：連鎖藥房網(wǎng)絡和應用系統(tǒng)安全保障體系

3.1.1 信息安全組織及人員保障

公司總部信息部依托項目團隊模式，成立了網(wǎng)絡信息安全領導小組和安全工作小組，安全領導小組、安全工作小組和各中心安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡信息安全工作提供了完整的人員保障。

加強信息隊伍建設。各級公司加強對信息網(wǎng)絡使用、管理人員的培訓和管理，重視對計算機信息隊伍的建設和計算機安全員的選任培養(yǎng)和教育管理工作，特別要注意做好零售藥店前臺操作人員的培訓工作，實行掛牌上崗，切實把好“選人關、上崗關、教育關”，確保信息網(wǎng)絡管理隊伍的素質(zhì)。信息部人員應明確權(quán)限設置，各零售藥店操作人員不得多人使用同一個賬號進行操作，要嚴格落實崗位目標責任制，明確網(wǎng)絡管理員、系統(tǒng)管理員、終端操作員、程序員的權(quán)限和操作范圍，確保信息網(wǎng)絡安全。

3.1.2 信息安全制度保障

良好的網(wǎng)絡信息安全保障離不開規(guī)范嚴謹?shù)墓芾碇贫?。通過制定《系統(tǒng)安全管理方案》、《數(shù)據(jù)安全規(guī)范管理辦法》、《安全應急處置預案》、《密碼安全管理辦法》等一系列規(guī)范，首先保障了網(wǎng)絡信息安全工作的“有章可循，有據(jù)可查”。

根據(jù)其不同的工作職責對安全工作的具體執(zhí)行進行了相應的劃分，通過整體統(tǒng)一、分工合作、實施安全事故/故障的分級處理和上報機制，有效和最大限度地保障了網(wǎng)絡基礎、系統(tǒng)開發(fā)建設和運行維護等方面的安全。

工作小組則通過定期通報安全工作情況、對安全工作進行審計等檢查和督促措施使信息辦人員的安全意識和責任心有了很大的改觀；為最大限度保證系統(tǒng)上線后的安全運行，每一系統(tǒng)正式上線前還必須制定系統(tǒng)上線運行標準，并由安全工作小組負責組織實施安全方案的評審，經(jīng)評審通過的《系統(tǒng)安全運行方案》也是將來系統(tǒng)安全審計的依據(jù)。

針對不同崗位、不同業(yè)務、不同環(huán)節(jié)的特點，制定出切實可行的規(guī)章制度，用來規(guī)范每個計算機管理人員、技術人員、操作人員的行為。要實行定期和崗位輪換制度，實行輪崗人員離崗稽核和對業(yè)務系統(tǒng)進行不定期的監(jiān)督檢查，以便及時發(fā)現(xiàn)問題，堵塞漏洞。計算機不得一機兩用，即業(yè)務計算不得上互聯(lián)網(wǎng)；不得將存儲涉密信息的計算機硬盤與國際互聯(lián)網(wǎng)連接；要建立安全事故報警制度，進行日志審計，實施網(wǎng)絡實時監(jiān)控。

3.2 完善信息安全技術措施

連鎖藥店需要使用一系列技術工具和手段來保障網(wǎng)絡信息安全，這些保障措施具體包括：

3.2.1 組網(wǎng)建設安全策略

門店SD-WAN組網(wǎng)主要有高效運維部署、數(shù)據(jù)安全傳輸、業(yè)務訪問連續(xù)三個方面的需求，實現(xiàn)全網(wǎng)極簡運維。主要需求包括：簡化部署藥店IT 設備上線流程，實現(xiàn)個人加盟店及直營店快速部署上線；總部端部署集中管理平臺，實現(xiàn)對全部門店的設備、鏈路運行狀態(tài)可視化及遠程運維；支持通過集中管理平臺向分支門店統(tǒng)一下發(fā)訪問控制策略，防止部分門店工作人員訪問與工作無關的事情。

個人加盟店組網(wǎng)建設：新增個人加盟店，部署如深信服SDW-MIG 設備，通過一條ADSL 互聯(lián)網(wǎng)線路組建VPN 隧道實現(xiàn)與總部端互聯(lián)，安全訪問總部端醫(yī)保系統(tǒng)、提貨/物流系統(tǒng)、會員系統(tǒng)。

直營旗艦店組網(wǎng)建設：部分直營店為保障業(yè)務連續(xù)，采用2 條ADSL 線路接入，通過SDW-MIG 設備的主備線路切換機制實現(xiàn)業(yè)務高可用。

分公司組網(wǎng)建設：分布在各省的分公司部署深信服SSL VPN 設備，滿足移動訪問需求。

主倉庫/分倉庫組網(wǎng)建設：部署上網(wǎng)行為管理設備，除對倉庫工作人員上網(wǎng)行為進行安全審計外，利用設備自帶的VPN 組網(wǎng)功能同總部實現(xiàn)安全組網(wǎng)互聯(lián)。

總部端組網(wǎng)建設：總部端部署SC（Secure Center）集中管理平臺，集中管理全省門店多臺SDW-MIG 設備，通過VPN 策略下發(fā)、系統(tǒng)配置策略下發(fā)、單點登錄等功能實現(xiàn)集中遠程管理，還能針對直營門店統(tǒng)一下發(fā)URL 訪問控制策略，防止門店藥師在工作時間訪問與工作無關的應用。

總部端統(tǒng)一部署多臺醫(yī)保前置機，與省市醫(yī)保局實現(xiàn)數(shù)據(jù)互通，各分支藥店通過客戶端訪問對應的醫(yī)保系統(tǒng)實現(xiàn)醫(yī)保結(jié)算；總部端有2 條電信100M MPLS 線路，2 條聯(lián)通100M MPLS 線路，由于主要業(yè)務是交易系統(tǒng)、提貨轉(zhuǎn)賬系統(tǒng)、醫(yī)保系統(tǒng)，數(shù)據(jù)傳輸量較少，能夠滿足分支門店同時接入的帶寬需求。

3.2.2 嚴格落實防病毒工作

使用具備旁路監(jiān)聽技術的設備過濾、限制訪問不良網(wǎng)絡信息；使用防火墻網(wǎng)關進行郵件過濾，并根據(jù)舉報分析垃圾郵件特征和設置過濾規(guī)則。使用雙層防火墻防護托管服務器群，使用網(wǎng)絡流量監(jiān)控軟件，對服務器進行流量、CPU/內(nèi)存/IO 使用情況監(jiān)控。

通過網(wǎng)絡版、單機版的防病毒軟件以及在線殺毒軟件減少病毒的影響；使用專用漏洞掃描軟件定期對系統(tǒng)進行漏洞掃描，并生成報告提醒管理員對存在漏洞的系統(tǒng)進行整改；同時建立通過防病毒軟件發(fā)布計算機病毒預報和安全漏洞等安全公告、分發(fā)安全補丁等。

3.2.3 做好數(shù)據(jù)分類分級、加密傳輸，確?？蛻艏盎颊唠[私

開展互聯(lián)網(wǎng)診療，將原先線下的診療模式搬到線上，通過網(wǎng)絡為患者做診斷、開處方。患者隱私數(shù)據(jù)和健康數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸，隱私泄露的風險大大增加。2021 年初正式實施的《民法典》明確提出患者個人信息和健康信息屬于醫(yī)院保密范圍，造成信息泄露將承擔法律責任。2020 年10月提出的《個人信息保護法草案》指出，個人信息保護需通過數(shù)據(jù)庫安全的技術手段實現(xiàn)，核心數(shù)據(jù)加密存儲，通過數(shù)據(jù)庫防火墻實現(xiàn)批量數(shù)據(jù)防泄漏，通過數(shù)據(jù)脫敏實現(xiàn)批量個人數(shù)據(jù)的匿名化，通過數(shù)字水印實現(xiàn)溯源處理。所以，一方面是建立異地數(shù)據(jù)備份和容災方案等，另一方面是做好分類分級，結(jié)合常規(guī)診療服務中的數(shù)據(jù)保護模式，對互聯(lián)網(wǎng)背景下，連鎖藥店信息系統(tǒng)涉及的患者隱私信息、診療、處方等數(shù)據(jù)做到數(shù)據(jù)脫敏。結(jié)合《中華人民共和國密碼法》的要求，還通過可靠的密碼算法，從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲等各個層面對數(shù)據(jù)進行加密。

3.3 落實信息安全等級保護制度工作

信息安全等級保護是根據(jù)我國國情，在現(xiàn)有的人、財、資源環(huán)境下，為保障信息系統(tǒng)安全，實行的一項基本制度和方法。對照衛(wèi)生信息安全等級保護安全監(jiān)管技術的要求，連鎖藥店信息安全等級保護安全監(jiān)管技術存在一定的滯后性。現(xiàn)有的安全監(jiān)管技術獨當一面，未能進行有效的綜合分析判斷。三級等保對系統(tǒng)的基本安全要求分為兩大部分，一是管理方面的要求，包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理；二是技術方面要求做到物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全?；谝陨习踩O(jiān)測要求，形成適用于連鎖藥店信息系統(tǒng)三級等保測評工作的整改方案。

在技術整改方面：

（1）物理位置選擇上，滿足防雷擊、防火、防水、防潮、防靜電，溫濕度控制，電力供應，電子門禁等機房建設前提下，按要求加入動環(huán)監(jiān)測設備；

（2）網(wǎng)絡安全方面，進行入侵防范、訪問控制、網(wǎng)絡設備防護控制等；

（3）主機安全方面，要求做好敏感操作標記及設置，重要客戶端進行審計，重要服務器監(jiān)測、記錄、報警，重要程序完整性，主機與網(wǎng)絡的防范產(chǎn)品不同等；

（4）應用系統(tǒng)安全方面，基本身份鑒定，密碼雙認證，會話傳輸加密等；

（5）數(shù)據(jù)安全方面，在每日數(shù)據(jù)備份、異地實時備份，網(wǎng)絡、硬件冗余的基礎上，增加數(shù)據(jù)庫日志審計，確保數(shù)據(jù)完整，可追溯。

隨著信息安全理論和技術的發(fā)展，各種新技術和新方法不斷涌現(xiàn)。由于信息系統(tǒng)是不斷變化和發(fā)展的，信息系統(tǒng)的風險是無法絕對消除的，公司的指導思想是以安全保發(fā)展、在發(fā)展中求安全，在進行安全方案選擇時，要在滿足安全等級保護要求，有效對抗風險的同時考慮信息安全方案的投入成本。要建立健全信息安全管理制度體系，在連鎖藥店信息系統(tǒng)建設、產(chǎn)品改造過程中，相應做好安全規(guī)劃；同時通過網(wǎng)絡信息安全管理中心，進行安全事件分類分級響應，完善應急預案及演練機制。

3.4 加強管理及信息安全教育

隨著數(shù)字化轉(zhuǎn)型，連鎖藥店要打造有粘性的流量入口、創(chuàng)造新的盈利模式，必須建立更個性化的全渠道會員體系，包括全渠道的一體化服務，全面整合的電子錢包，個性化的產(chǎn)品建議，自營APP 專屬優(yōu)惠，會員健康指導和教育。要打通醫(yī)生、藥劑師、患者之間的病史、數(shù)據(jù)、信息流，這就需要利用智能化技術，實現(xiàn)一流的藥房后端運營，促進“醫(yī)”和“藥”無縫對接，打造全新基層醫(yī)療入口。隨著企業(yè)內(nèi)部運營開始“打開”，網(wǎng)絡、應用、數(shù)據(jù)環(huán)境向外開放，互聯(lián)網(wǎng)應用和企業(yè)管理等新場景帶來更多的安全威脅。為此，企業(yè)必須將網(wǎng)絡信息安全與業(yè)務結(jié)合，提升到企業(yè)戰(zhàn)略層面。

要轉(zhuǎn)變信息安全管理理念。在安全建設上，從被動建設到轉(zhuǎn)變?yōu)橐?guī)劃牽引；在安全能力上，從靜態(tài)安全能力轉(zhuǎn)變?yōu)榈絼討B(tài)安全能力建設；在安全姿態(tài)上，從事后應急到事前防御姿態(tài)轉(zhuǎn)變；在安全責任上，從“信息安全部門責任”到“全員責任”轉(zhuǎn)變； 在內(nèi)外協(xié)同上，從零散割裂轉(zhuǎn)變?yōu)轶w系化協(xié)同，并與國家有關機構(gòu)協(xié)同聯(lián)動，構(gòu)建網(wǎng)絡信息安全的新管理模式。

要加強信息安全教育。企業(yè)可通過信息安全知識、技能、法律法規(guī)培訓，以及專家講座、互聯(lián)網(wǎng)學習平臺、知識競賽等方式，廣泛傳播安全知識，引導企業(yè)員工參與國家網(wǎng)絡安全宣傳周各項活動，提高網(wǎng)絡信息安全意識和信息化專業(yè)素養(yǎng)。

同時注重加強專業(yè)人才培養(yǎng)。公司應增加網(wǎng)絡信息安全崗位，培養(yǎng)引進專業(yè)人才，以安全運營管理實際需求為導向，建立網(wǎng)絡安全人才培養(yǎng)體系，普及信息安全知識，轉(zhuǎn)變企業(yè)網(wǎng)絡安全管理和運營模式，要將工作重心從以點為主的威脅對抗模式延伸到以面為主的綜合防御能力建設模式。

4 結(jié)語

互聯(lián)網(wǎng)背景下連鎖藥房經(jīng)營模式創(chuàng)新為顧客及患者帶來了極大的便利，也為企業(yè)的信息安全管理工作帶來了極大的挑戰(zhàn)。隨著數(shù)字化轉(zhuǎn)型，新的IT 基礎設施建設和新技術應用，新老信息化技術和傳統(tǒng)領域的業(yè)務融合，帶來了新的安全風險，醫(yī)藥零售服務、健康管理及醫(yī)藥商品供應鏈復雜化也帶來新的安全威脅。只有通過建立健全網(wǎng)絡信息安全體系建設、加強技術防護、做好信息安全等級保護、加強管理及信息安全教育，才能盡量降低互聯(lián)網(wǎng)背景下連鎖藥店的網(wǎng)絡安全風險，保障各個信息系統(tǒng)的正常運行，持續(xù)為顧客及患者提供安全、合規(guī)、優(yōu)質(zhì)的配送服務及藥學服務。