依据《数据安全法》《个人信息保护法》及2026年互联网药品信息服务备案新规，黑龙江省内互联网药品信息备案平台需完成网络安全等级保护建设，最低需达到等保一级标准，涉及用户个人信息收集、存储的平台需达到等保二级标准，建设规范需覆盖技术层面与管理层面，未达标准的将不予备案。技术层面建设规范（等保一级基础要求）：

1.物理安全：平台服务器需部署在中国大陆境内，具备独立的物理防护区域，防止非授权人员接触；

2.网络安全：部署防火墙、入侵检测/防御系统，实现网络访问控制，对药品信息传输进行加密（采用HTTPS协议），防止数据泄露、篡改；

3.主机安全：对服务器进行安全加固，关闭无用端口，安装杀毒软件，定期进行漏洞扫描和修复，留存扫描记录；

4.应用安全：平台具备信息发布审核、内容过滤、违规信息拦截功能，防止虚假、违规药品信息发布；具备用户登录身份验证功能，采用账号密码+验证码双重验证；

5.数据安全：对平台存储的药品信息、用户访问记录进行加密存储，建立数据备份机制（本地+异地），备份周期不超过24小时，数据留存期限不少于3年。技术层面升级要求（等保二级，涉及用户个人信息）：若平台收集、存储用户姓名、身份证号、联系方式、用药咨询记录等个人信息，需在等保一级基础上，增加：

6.个人信息分级保护：对敏感个人信息（如用药记录）进行单独加密存储，设置访问权限；

7.数据脱敏：对外展示的用户信息进行脱敏处理，隐藏身份证号、联系方式等敏感信息；

8.审计日志：建立完善的网络安全审计日志，记录用户登录、操作、数据访问等行为，日志留存期限不少于6个月；

9.应急响应：部署数据泄露应急处置系统，一旦发生数据泄露，可快速启动应急预案，阻断泄露、留存证据、通知用户。管理层面建设规范：

10.安全管理制度：制定《网络安全管理制度》《数据安全管理制度》《个人信息保护管理制度》，明确安全管理责任；

11.人员安全管理：配备专职网络安全管理人员，具备计算机相关专业背景，完成等保培训，留存培训记录；建立人员离岗保密制度，防止核心数据泄露；

12.应急管理：制定网络安全突发事件应急预案，每年至少开展1次应急演练，留存演练记录；

13.供应商管理：若平台由第三方技术公司开发、维护，需与供应商签订网络安全协议，明确供应商的安全责任。备案材料要求：企业需提交《网络安全等级保护测评报告》（等保一级/二级）、网络安全管理制度、应急演练记录、服务器部署证明，测评报告由具备资质的第三方机构出具，建设情况需在备案申请中详细说明，省药监局将核查平台网络安全建设的实际情况。

陆陆企服平台