网络安全不“应急”，证书可能真“急”了

最近不少药企朋友在后台问：办《互联网药品信息服务资格证书》，光装个防火墙、配个SSL证书就够了吗？尤其想确认一点——应急响应机制，到底算不算硬性要求？

答案很直接：算，而且是监管现场核查时重点盯的“必答题”。

别把“应急预案”当成PPT摆设

很多企业觉得，“写个流程图+列几个联系人”就叫有应急响应。但实际审查中，网信、药监联合检查时会看三样东西：
✅ 是否明确勒索攻击、数据泄露、系统瘫痪等典型场景的处置步骤；
✅ 是否有近6个月内真实开展过模拟演练（留痕！截图、签到表、复盘记录都得有）；
✅ 技术团队能否在30分钟内启动响应，2小时内给出初步处置方案。

没演练？没记录？那不好意思，材料初审可能就被打回重做。

为什么药监特别看重这个？

药品信息不是普通内容——一条错误用药提示、一次处方页面被篡改、甚至用户过敏史数据被拖库，都可能引发真实健康风险。所以《互联网药品信息服务管理办法》第七条明确要求：“具备保障网络信息安全的制度和措施”，而国家药监局配套的《核查要点清单》里，“应急响应能力”被单列一条，权重和服务器备案、内容审核制度并列。

换句话说：网络安全不是“有没有”，而是“能不能用、好不好使”。

九蚂蚁实操提醒：三个容易踩的坑

我们帮80+家药店/药企办证时发现，高频翻车点其实是这些：
🔹 把IT外包公司的通用应急预案直接套用，没结合药品信息业务特性（比如未覆盖“药品禁忌症字段被恶意篡改”的专项处置）；
🔹 演练只走形式，没留存过程证据（连聊天记录都没截屏，更别说演练报告盖章）；
🔹 应急联系人填的是法人电话，结果核查当天关机失联……

其实补救很简单：梳理3类高风险场景→定制一页纸处置卡→拉上运营+客服+IT搞次15分钟桌面推演→存档。花半天，换证书稳稳落地。

说到底，应急响应不是给监管“交作业”，而是给用户一份看不见却至关重要的信任保障——毕竟，谁点开药品页面，都不想成为第一个发现问题的人。