.S9SC0.團 體 標 準S4醫藥企業營銷合規服務指南sde6發布 6實施中國企業評價協會 發布中國標準出版社 出版S4目 次前言 Ⅲ引言 Ⅳ范圍 1規范性引用文件 1術語和定義 1醫藥企業營銷合規環境醫藥企業營銷合規治理

…………………2…………………2醫藥企業對營銷服務提供者的要求 5醫藥企業委托服務提供者提供的服務項目 7醫藥企業營銷合規流程 9醫藥企業對服務提供者的服務保障要求 0附錄A規范性)醫藥營銷服務平臺信息化系統技術要求 2參考文獻 6ⅠS4前 言本文件按照標準化工作導則 第1部分標準化文件的結構和起草規則的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國企業評價協會提出并歸口。本文件起草單位中國企業評價協會北京知行同德信息科技有限公司北京同仁堂科技發展股份有限公司營銷分公司醫學事業部北京國際貿易有限公司北京市安理律師事務所。本文件主要起草人李春偉劉李佳于越周小鈺劉順利雷曉亞張京虎劉越之王彥郭海濤、宋健許旭亮。ⅢS4引 言當前醫藥行業監管趨嚴醫藥企業開展醫藥營銷推廣活動面臨更加嚴格的監管。隨著7年醫藥行業兩票制的推行和0年醫藥代表備案管理辦法試行的發布醫藥行業營銷推廣活動進行合規改革已成為醫藥企業開拓市場穩健發展的唯一道路醫藥行業已經處在營銷推廣合規轉型的關鍵階段。在此背景下由于醫藥企業營銷推廣活動的復雜性差異性和易逝性醫藥企業普遍缺乏合規開展醫藥營銷推廣活動的參考標準。醫藥企業各自為戰試圖在復雜的營銷活動和政策環境中摸索出一條合規之路已成為阻礙醫藥行業開展合規營銷的最大痛點。同時在當前監管環境下監管部門普遍從銷售費用的角度切入主要審查醫藥企業銷售費用的真實性合法性與合理性。由于醫藥企業在開展營銷推廣活動時對營銷推廣活動中涉及的各角色界定不明確對營銷活動全過程中的合規要求認識不充分對各類營銷活動中服務提供者的要求參差不齊導致各服務提供者向醫藥企業提供營銷服務時無所適從使得醫藥企業銷售費用的處理無法滿足監管部門的要求。因此無論從醫藥企業的角度亦或是監管部門的角度醫藥行業都亟需一部能夠指導醫藥企業進行營銷合規治理定義各類營銷推廣服務提供者明確各角色合規要求的指南。為貫徹落實國務院關于深化標準化工作改革方案的相關要求制定滿足市場和創新需要的團體標準滿足醫藥企業對合規營銷標準的迫切需求本文件規范了醫藥企業開展醫藥營銷推廣活動時的合規環境合規治理合規流程和醫藥企業對參與營銷推廣活動相關服務提供者的一般標準。本文件從醫藥企業視角闡述了醫藥企業自身營銷合規的要求以及在開展營銷推廣活動全流程中對藥品醫療器械合同銷售組織共享經濟靈活用工服務機構醫藥營銷服務平臺和營銷人員的要求為醫藥企業合規開展營銷活動提供明確的指導。ⅣS4醫藥企業營銷合規服務指南范圍本文件規定了醫藥企業營銷合規環境營銷合規治理對營銷服務提供者的要求委托服務提供者提供的服務項目營銷合規流程以及對服務提供者的服務保障要求。本文件適用于醫藥企業營銷合規服務1)活動的開展。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中注日期的引用文件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。9信息安全技術網絡安全等級保護基本要求術語和定義下列術語和定義適用于本文件。

醫藥企業de生產和制造醫藥產品的專營企業或者兼營企業。營銷合規環境 t企業在營銷活動中遵守的法律法規行業規范以及企業內部規范的總和以確保企業營銷活動合法合規符合行業標準和道德要求。營銷合規治理 e醫藥企業在進行營銷活動時通過梳理企業內部管理者的需要和期望合規管理體系營銷合規組織等要素對營銷活動進行的合規治理。醫療器械合同銷售組織O與醫藥企業簽訂推廣合同取得藥品或醫療器械推廣權的銷售推廣組織其組織雇用醫藥代表進行推廣行為取得藥品或醫療器械上市許可持有人的授權。共享經濟靈活用工服務機構t基于互聯網現代信息技術為企業和靈活用工人員提供服務項目眾包交易處理智能報稅靈工保障等共享經濟綜合服務的平臺化組織。為醫藥企業在營銷活動中提供營銷策略合規解決方案組織營銷推廣活動等符合相關法律法規政策和標準的服務避免因可能存在的營銷合規風險和違規行為帶來的各項損失。1S4醫藥營銷服務平臺m為醫藥企業醫療器械合同銷售組織共享經濟靈活用工服務機構營銷人員提供醫藥營銷服務接洽及相關審核服務的第三方機構組織。服務提供者s為醫藥企業提供營銷服務的藥品醫療器械合同銷售組織共享經濟靈活用工服務機構醫藥營銷服務平臺營銷人員等的集合。營銷合規風險 k醫藥企業在產品推廣和營銷活動時可能涉及的違反法律法規行業標準及相關規范等方面的違規行為和失誤所導致的潛在合規風險這些風險可能會對醫藥企業造成法律風險行政監管風險財務損失商業信譽等負面的影響。醫藥企業營銷合規環境遵守法律法規醫藥企業在營銷活動中應嚴格遵守法律法規包括但不限于中華人民共和國廣告法中華人民共和國反不正當競爭法中華人民共和國藥品管理法中華人民共和國個人信息保護法中華人民共和國數據安全法等確保所有營銷活動合法合規。遵循行業規范及標準醫藥企業應遵循行業規范及標準如醫藥行業協會制定的行業準則行業自律公約及相關標準等確保企業在行業內的行為符合行業標準和道德要求。政策追蹤與分析醫藥企業應對政策進行追蹤和分析關注政策變化對營銷活動的影響及時調整營銷策略和推廣重點確保企業營銷活動與政策環境保持同步。醫藥企業營銷合規治理管理者的需要和期望企業實際控制人法定代表人財務負責人業務負責人及必要的企業合規管理負責人等管理者應以風險與效益相平衡原則指導營銷合規工作向前推進制定醫藥營銷戰略時應確保其與企業經營戰略相一致。在企業經營過程中管理者應正確評估企業及個人的合規風險統一合規理念達成營銷成果與合規風險相平衡實現效益最大化的總體目標。合規管理體系營銷合規管理制度服務準入企業可通過組建直營營銷團隊或選擇外部來源開展營銷活動。企業選擇外部來源開展營銷服務2的對服務提供者進行服務準入評審:

S4企業應建立營銷服務提供者盡職調查準入評審制度選取符合準入條件的主體承接服務央企國企等大中型企業應按照相關法律法規的要求對服務提供者進行詢價競爭性談判或招投標對已通過評審符合準入條件的服務提供者宜設置評審有效期臨近評審期限的應重新組織人員對其開展盡職調查和評審確保已準入企業在其服務期內持續滿足要求;企業通過使用第三方機構以信息化系統進行醫藥營銷活動審核服務的應建立技術及功能準入條件確保其功能及安全性滿足營銷活動開展以及信息安全保護要求。營銷人員企業開展營銷活動應組建由營銷人員構成的營銷團隊可選擇直營營銷團隊的專職人員開展營銷活動或采用外部靈活就業人員開展營銷活動:營銷人員是專職人員的企業應根據其計劃開展的營銷服務類型對專職服務人員進行資格審查保證其從業資質滿足相關法律法規要求;營銷人員是靈活就業人員的除要求外還應根據靈活用工的相關法律法規建立靈活就業人員資格審查內容確保人員資格合法合規;制定營銷人員行為準則明確其禁止行為宜簽訂營銷人員行為承諾書。營銷活動醫藥企業應對各類營銷活動進行標準化管理制定統一管理的營銷方式針對不同營銷活動限定不同的營銷價格。醫藥企業在開展營銷活動過程中應采用合法合規的營銷手段如通過專業平臺推廣利用社交媒體建立品牌形象使用醫藥營銷服務平臺真實完整記錄營銷活動等不應采用虛假宣傳夸大療效違反國家對藥品分級分類的管理要求虛構營銷活動等違法違規手段。醫藥企業營銷活動包含但不限于以下內容:產品介紹向臨床醫生藥店店員或患者進行產品的介紹和說明;聯系和溝通與臨床醫生藥師醫院科室基層醫療渠道零售渠道商業渠道或其他相關人員保持良好的聯系和溝通以便其及時了解市場信息并傳遞產品信息;學術活動通過不同的推廣培訓活動科室會活動患者教育活動以會議講座培訓等方式對醫療機構客戶患者開展學術活動傳遞學術觀點指導安全用藥提高產品的知名度;數據分析和報告定期收集并分析市場數據如銷售量市場占有率競爭對手情況庫存數據收集等并形成相關的報告和分析制定對應的營銷策略和計劃。營銷費用支付醫藥企業應建立健全資金支付制度和審批流程根據取得的營銷服務原始憑據依法依規的支付營銷費用其中原始憑據應至少滿足合同流服務主體業務流票據流資金流五流合一。風險管理醫藥企業應建立風險管理體系確保在每個階段都能夠有效地識別評估應對和控制風險從而保證營銷推廣活動的順利進行和企業的持續發展。醫藥企業宜按如下方法對營銷活動進行風險控制:醫藥企業宜在營銷活動的事前事中和事后3個階段制定風險管理內容涵蓋策略制定與審查資源分配與預算控制合作伙伴選擇與審查實時監控與調整危機應對與公關處理合規執行與監督效果評估與總結反饋收集與改進以及資料歸檔與風險記錄等方面;醫藥企業宜通過建立風險識別清單崗位合規職責清單流程管控清單建立和更新風險3S4識別庫實施動態的風險管理措施。營銷計劃及預算醫藥企業應對某一周期內的營銷活動制定營銷計劃根據企業總體經營目標確定開展營銷活動的營銷目標明確各類型營銷活動的合規要求確定營銷活動的預算。醫藥企業應按如下要求制定營銷預算。根據統一制定的銷售指標應劃分不同品類醫藥營銷份額根據不同品類的營銷合規要求市場監管要求營銷團隊構成制定合規策略分配合規資源。為計劃營銷的醫藥產品制定區別化的營銷策略以合規監管結合營銷預算情況開展營銷活動。企業委托營銷人員對外開展醫藥營銷活動時應遵守相關法律法規組織企業內醫藥營銷合規團隊對一線營銷活動推廣人員開展合規培訓充分評估從事營銷活動可能存在的法律風險。制定預算時應根據不同品類的營銷策略分配預算符合同行業銷售費用占比規律同時結合不同品類的合規情況給予不同程度的預算傾斜以應對不同品類不同營銷方式下可能給企業造成風險的因素。營銷合規組織通用要求醫藥企業應以企業經營戰略為基礎制定統一的營銷合規方針指定專門的營銷合規負責人員或組建合規團隊開展合規治理。同時保障營銷合規體系能夠獲取足夠的資源指導和支持營銷合規人員開展合規工作保證企業營銷合規體系實現預期結果。營銷合規方針醫藥企業應制定統一的營銷合規方針開展合規治理。主要內容如下:營銷合規方針應與企業的價值觀目標和經營戰略保持一致;合規方針的制定應符合醫藥企業經營的相關法律法規規定;明確企業管理者與營銷合規團隊的合規職能;明確不遵守企業的合規規定流程和程序的后果。營銷合規組織及職責醫藥企業應指定營銷合規負責人。營銷合規負責人宜具備企業合規師中級或以上能力可參見統籌管理營銷合規工作監督落實國家行政部門對醫藥企業營銷合規的監管要求。營銷合規負責人主要職責如下:組織制定各項醫藥企業合規管理制度和流程;明確界定各部門與營銷合規相關的管理職責;監督營銷合規制度和流程的執行落實情況;建立營銷合規風險評估機制完善風險評估流程;審閱由營銷合規執行部門提交的風險評估報告;組織擬定和實施營銷合規教育培訓計劃。醫藥企業宜建立營銷合規團隊其中核心人員宜具備企業合規師或以上能力根據營銷合規方針及營銷合規負責人的工作安排具體開展營銷合規工作。營銷合規團隊主要職責如下:4S4執行并指導相關部門各項合規管理制度和流程;定期按一定比例抽查營銷推廣活動的合規性及合理性;開展營銷合規風險評估推進識別營銷合規風險出具風險評估報告;分析和評價經風險評估后識別出的風險確認是否需要采取整改措施;定期對服務提供者的服務合規情況評級評分出具評定結果;對業務部門開展營銷合規培訓提升整體組織的合規意識;定期向企業管理者進行營銷合規風險匯報。醫藥企業對營銷服務提供者的要求醫療器械合同銷售組織基礎要求醫藥企業應對藥品醫療器械合同銷售組織提出以下合規基礎要求以應對潛在的服務中斷風險、法律風險:醫療器械合同銷售組織應為法人或其他組織;應具備實際辦公的經營場所;醫療器械合同銷售組織及其實際控制人未被列入嚴重違法失信名單不存在經營異常;醫療器械合同銷售組織及其實際控制人未被列入失信被執行人名單:醫療器械合同銷售組織及其實際控制人未被列入重大稅收違法失信主體名單;醫療器械合同銷售組織應具備健全的企業管理制度營銷合規管理制度和會計制度并可按照稅務機關要求出具第三方機構審計報告。推薦要求醫藥企業對藥品醫療器械合同銷售組織的要求除滿足1的要求外還應滿足以下要求:具備醫藥行業營銷推廣服務的經驗或能力由藥品醫療器械合同銷售組織專職人員合作人員或第三方服務合作者根據醫藥企業實際情況設計符合醫藥企業營銷特點的營銷方案;醫療器械合同銷售組織應具備管理團隊配備與經營規模相適應的合理人數最低不少于3個專職人員并具有合法存續的納稅社保記錄崗位設置不限于營銷策劃人員風控人員、財務人員等;應配合醫藥企業的準入考察盡職調查等合規審核。共享經濟靈活用工服務機構共享經濟靈活用工服務機構除應符合1的要求外還應滿足如下要求:具有專業經驗的專職財稅服務人員;具備提供財務稅務服務應取得的相應資質; 具有業務風險管理制度具備識別防范管控和應對業務風險的措施和能力;通過國家企業信用信息公示系統n進行檢索。通過中國執行信息公開網n進行檢索。通過信用中國n進行檢索。5S4具備支付業務許可證或與具備結算支付能力的平臺合作;提供信息化服務系統的共享經濟靈活用工服務機構具備信息和數據安全管理能力;風控人員應定期對靈活就業人員進行抽檢回訪核實任務執行過程真實合規;共享經濟靈活用工服務機構向自由職業者支付費用應為其進行稅務申報并繳納稅款。醫藥營銷服務平臺基礎要求醫藥營銷服務平臺除應符合1的要求外還應滿足如下條件以應對復雜的營銷場景:核心團隊具有醫藥行業營銷推廣經驗深度了解醫藥行業營銷業務模式的歷史沿革和現狀根據不同醫藥企業在營銷推廣業務上的需求設計和實施審核方案;擁有商務及運營團隊為醫藥企業的全流程數字化營銷推廣業務服務提供咨詢協助和審核;擁有對醫藥企業在營銷活動過程中形成證據的統一審核標準;具備對醫藥企業共享經濟靈活用工服務機構及服務人員進行風險識別評估和風險管理的能力。推薦要求醫藥營銷服務平臺除應符合1的要求外還滿足以下要求:醫藥營銷服務平臺宜采用信息化系統自有產品設計和研發團隊業務流程設計應符合醫藥行業營銷推廣業務的真實場景符合所服務醫藥企業的營銷規范;信息化系統功能包括但不限于實名認證權限管理電子簽約任務工單流轉稅收票證管理、結算支付管理數據統計或分析記錄存證等功能同時擁有醫院及其醫生的公開基礎信息數據庫能夠為醫藥企業提供營銷標準化服務交易流程閉環服務交易結構服務過程全面留痕可追溯以及結算支付管控的合規信息化功能;在信息化系統中實現按照醫藥營銷活動的規則通過對交易價格頻次業務邏輯敏感詞等多種不同維度進行智能化的自動任務工單初篩審核可降低醫藥企業在開展營銷活動中的驗收及合規成本;醫藥營銷服務平臺信息化系統應滿足附錄A的規定。服務人員全職專業人員全職專業人員應具備相應的經驗或技能了解專業人員相關的行業知識或法律法規具體要求為:醫藥企業開展營銷活動應至少配置一名能夠根據醫藥企業的產品和營銷體系設計匹配營銷場景的專業服務人員;風控人員應掌握醫藥行業營銷推廣專業知識并能夠識別營銷活動中存在的風險點;財務人員應具備專業崗位的職業技能熟悉醫藥行業涉稅管理的相關規定;具備相適應的醫藥知識和營銷技能鼓勵一線全職營銷推廣人員完成醫藥代表備案。自由職業者醫藥企業采用外部來源提供營銷服務的營銷人員為自由職業者時應滿足以下要求:年滿8周歲且未滿5周歲具有完全民事行為能力的中華人民共和國公民;使用信息化系統實施營銷活動的自由職業者應通過權威性的實名認證;6S4營銷任務需求企業及其關聯方的雇員董事監事高級管理人員或政府公職人員事業單位在編工作人員不應作為自由職業者實施營銷任務;自由職業者應具備良好的個人信用記錄無違法違規行為未被列入行業黑名單;自由職業者應具備足夠匹配實施服務任務的經驗或營銷技能或具備醫學藥學相關教育背景鼓勵完成醫藥代表備案;自由職業者應自愿通過線下簽約或線上電子簽章簽署相關協議。醫藥企業委托服務提供者提供的服務項目營銷方案設計設計要求服務提供者應根據醫藥企業的真實營銷業務場景為醫藥企業設計符合其營銷現狀和產品推廣真實邏輯的營銷方案。方案內容營銷方案應至少包括任務場景任務內容說明任務數量實施人員任務區域任務周期任務費用任務規則服務人員對任務的實施過程應有記錄任務結束后服務提供者應提供完整的匯總材料或任務報告材料可為紙質材料或不可篡改的電子格式包括但不限于統計分析說明照片音視頻文書、表單工作軌跡等。營銷推廣任務的承接醫療器械合同銷售組織及共享經濟靈活用工服務機構總包或分包承接任務應包括掌握各自的審核內容或標準向服務人員傳遞和培訓相關任務信息及規則組織服務人員實施完成任務同時審核驗收任務。風險管理風險識別醫藥企業開展營銷活動時應在事前對潛在風險進行識別風險識別要求如下。風險識別范圍包括服務提供者風險識別營銷方案風險識別其他營銷合規的相關風險。風險識別程序應包括初次識別時建立服務提供者的信息識別機制登記并審核驗證其基本信息在業務關系存續期間對其發生重大變化下持續進行風險跟蹤識別設立并完善其風控檔案當其重要信息發生變更和交易業務內容情況出現異常時應對其進行重新評估。風險識別方法包括但不限于實地調查背景調查訪談公開信息查詢隨機抽樣檢查第三方調查詢證等。信息數據來源包括但不限于監管機構和司法機構公開的信息數據社會媒體公開的信息數據、收集的醫藥企業提供的信息數據等。風險分析自由職業者風險對自由職業者信息進行風險分析包括但不限于以下方面:自由職業者姓名身份證號碼或者個人用戶生物特征等表明用戶身份的要素;7S4銀行卡號或第三方支付收款賬戶是否與自由職業者身份一致;自由職業者是否為所服務的企業用戶的董監高員工;自由職業者是否為涉案違法人員;自由職業者是否為軍人政府公職人員事業單位在編人員;自由職業者是否具備提供服務所需的專業資質;抽查回訪自由職業者是否真實實施相關任務。醫療器械合同銷售組織及共享經濟靈活用工服務機構風險醫療器械合同銷售組織或共享經濟靈活用工服務機構信息進行風險分析包括但不限于以下方面:企業資質經營范圍營業執照有效期股權信息實際控制人等基本信息;稅收違法欠稅公告行政處罰經營異常等經營風險信息;司法案件裁判文書股權凍結立案信息等法律風險信息;財務預警監管預警等其他負面輿情信息;對企業用戶任務企業及供應商定期進行回訪評級并結合評級情況適時調整業務;業務流程中對合同及法律文書的重要條款內容;資金支付流轉的合理性及結算通道的安全性。營銷方案風險服務提供者應按照政府監管部門的要求指引和風險提示從業務性質交易金額時間頻率等多維度分析并建立異常交易監測指標用于監測異常交易包括但不限于以下方面。業務場景與自由職業者信息及行為邏輯是否相符。應根據不同業務場景特征設置相應風控閾值規則判斷業務場景與人群年齡性別收入等信息是否匹配。交易金額與實際生產經營場景是否相符。應通過大數據分析得出每類個人用戶人群單位時長的收入區間及平均收入的實際情況判斷交易單筆金額或總金額是否明顯偏離公允金額或實際情況。交易時間與實際生產經營場景是否相符。應關注自由職業者交易的時間如實際交易時間不在通常的業務場景時段存在業務不真實風險。交易頻次與實際生產經營場景是否相符。應關注自由職業者交易的頻次如實際交易頻次不符合通常的業務場景交易頻次存在業務不真實風險。財稅與支付服務要求醫藥企業驗收通過后服務提供者應向其分別收取相應的服務費用。為保障資金的安全與合規醫藥企業和服務提供者應采用至少兩個第三方具有支付業務許可證的結算通道和產品以4小時實時到賬方式規避各方在支付和收取服務費用時的資金風險。董指公司董事包括董事長執行董事等監指監事高指高級管理人員包括公司的經理副經理財務負責人董事會秘書等。8費用支付

S4服務提供者向服務人員支付的服務費用應根據醫藥企業最終驗收合格的服務按實際金額支付并依法依規納稅。財稅要求合同流服務主體業務流票據流及資金流應保持一致五流合一。發票要求根據中華人民共和國發票管理辦法任何服務提供者不應開具與實際業務情況不符的發票。醫藥企業營銷合規流程營銷合規流程醫藥企業應設立營銷流程在開展營銷活動的過程中保留各階段的相關業務證據確保營銷活動中各環節可追溯的總體合規目標。營銷合規流程見圖。推薦營銷合規流程

圖1營銷合規流程醫藥企業開展營銷活動宜選取專業的醫藥營銷服務平臺通過醫藥營銷服務平臺所建立的信息化系統對接醫藥企業所制定的營銷需求設計營銷方案發布營銷推廣任務并在營銷推廣人員完成服務后通過信息系統預先設定的自動化預審規則進行服務審核篩查以滿足業務合規行為合規及財稅合規有效降低醫藥企業在營銷活動開展過程中所帶來的合規風險。推薦營銷合規流程見圖。9S4圖2推薦營銷合規流程醫藥企業對服務提供者的服務保障要求合規保障總體要求醫藥企業應建立對服務提供者進行評估篩選監督溝通和改進的閉環合規機制確保與合規性較高的服務提供者建立長期穩定的合作關系共同推動行業的合規發展和可持續發展。合規性評估與篩選營銷推廣服務提供者應接受醫藥企業對其持續進行合規性評估。評估內容包括服務提供者的資質信譽業務合規記錄等方面評估結果作為與醫藥企業合作的重要依據確保醫藥企業與合規性較高的服務提供者建立合作關系。合規約束營銷推廣服務提供者需遵守營銷合規環境的約束。宜與醫藥企業簽訂合規條款明確雙方合規責任和義務并定期提交合規報告以便醫藥企業及時了解其合規情況。0合規監督

S4營銷推廣服務提供者應接受醫藥企業的合規監督定期配合醫藥企業的評級評分確保其遵守營銷合規環境下的相關要求。如被醫藥企業發現服務提供者存在違法違規行為醫藥企業應及時采取措施進行糾正甚至終止合作關系。信息共享與溝通營銷推廣服務提供者與醫藥企業之間應積極建立有效的信息共享和溝通機制以便及時獲取醫藥企業合規方面的信息和要求以確保雙方對合規要求的理解和執行保持一致提高合作效率和合規水平。持續改進與優化營銷推廣服務提供者應根據醫藥企業合規評估結果不斷調整和優化合作策略以滿足合規要求并提高自身的合規水平。同時醫藥企業還應持續關注并收集營銷合規環境的變化及時調整對服務提供者的合規要求以促進服務提供者與醫藥企業的合作始終合規并與時俱進。服務保障醫藥企業應持續關注服務提供者所提供服務的質量在與其合作的有效期內發生重大風險事件或涉嫌嚴重違規事件的應及時查明情況及時采取措施防控風險。醫藥企業應要求服務提供者建立售后服務體系設置專門的售后服務部門和人員提供專業服務為醫藥企業提供完善周到的維護和支持服務。售后服務內容包括但不限于服務類型維護和應急措施培訓服務升級服務回訪及跟蹤服務以及后續服務等。1S4信息系統運行維護系統運行維護運行維護環境運行維護環境要求如下:

附 錄A規范性)醫藥營銷服務平臺信息化系統技術要求機房管理信息系統基礎設施應滿足9中1的要求;網絡管理應保證網絡設備網絡帶寬網絡區域劃分滿足業務需要;安全區域邊界設置應建立邊界防護保證網絡通過受控邊界設備接入內部網絡;審計管理信息系統應建立審計日志記錄機制記錄系統和應用程序的關鍵操作事件和異常行為。云計算環境使用云服務搭建信息系統的云計算服務提供商應滿足T9中云計算安全擴展要求云計算基礎設施應位于中國境內。訪問控制信息系統應設置嚴格的訪問控制措施確保只有經過授權的人員方可訪問系統和敏感數據具體做法包括:對登陸的用戶分配賬戶的權限嚴格控制管理員賬號建立權限分配策略;配置訪問控制策略規定對登陸用戶的訪問控制規則;授予管理用戶所需的最小權限實現管理用戶的權限分離;以非本地化方式搭建信息系統的應在虛擬化網絡邊界部署訪問控制機制設置訪問控制規則。數據備份及恢復所有業務數據應擁有可靠備份應支持在業務中斷后最長恢復時間小于或等于業務數據不丟失。業務可用性排除外力因素即非本企業可控因素業務可用性應達到9數據備份及恢復的技術要求方面要求如下。應至少每月1次對數據庫數據進行備份。采取嚴格的存取訪問控制機制。數據庫軟件應具備從各種人為故障軟件故障和硬件故障中進行恢復的能力數據庫均應配置操作日志記錄功能并保留操作記錄以備安全審計使用。信息安全數據加密當信息系統存在相互之間的對接或存儲傳輸敏感數據時應采取以下2個措施對數據進行加密2處理確保數據在傳輸和存儲過程中的保密性:

S4加密算法方面應至少采用非對稱算法或國密算法等密碼長度應不低于8位;網絡傳輸層方面通過使用安全套接層或傳輸層安全協議協議對數據在網絡傳輸過程中進行加密保護。隱私保護和數據合規醫藥企業營銷活動中使用信息系統涉及收集傳輸存儲使用委托處理共享個人信息時應采取以下相應的個人信息保護措施以滿足數據合規的總體要求:收集個人信息方面個人信息的收集者應以最小范圍必須收集為原則主動向個人信息主體告知收集使用個人信息的目的方式和范圍獲取個人信息主體單獨同意方可收集;存儲個人信息方面個人信息控制者應對存儲的個人信息進行去標識化處理對于敏感的個人信息應采用加密等安全措施;使用個人信息方面個人信息控制者不應超出與收集個人信息時所聲稱的目的使用個人信息確需超出范圍的應再次征得個人信息主體的明示同意;個人信息主體權利實現方面個人信息控制者應為個人信息主體提供響應其行使查詢更正、刪除撤回授權同意注銷賬戶獲取個人信息副本投訴請求的方式;個人信息委托處理及共享方面個人信息控制者應向個人信息主體告知其委托處理共享個人信息的目的和接受方的類型。去標識化信息系統應至少從以下方面對敏感數據進行去標識化處理:姓名的去標識化;身份證號的去標識化;銀行卡號的去標識化;電話號碼的去標識化;地址信息的去標識化。安全漏洞管理安全漏洞管理是信息系統安全的重要組成部分信息系統上線應定期進行漏洞掃描具備完善的安全漏洞管理機制明確漏洞發現和報告漏洞接收漏洞驗證漏洞處置漏洞跟蹤。惡意代碼防范應針對網絡安全應用安全主機安全方面建立惡意代碼防范機制對系統開發中的代碼規范進行明確規定在關鍵網絡節點處對惡意代碼進行檢測和清除及時識別入侵和病毒行為并將其有效阻斷。信息系統功能要求支付信息系統應支持醫藥企業與服務提供者進行資金往來至少接入銀行或第三方支付機構用于三者間的資金支付。信息系統應按照如下要求實現支付結算賬戶管理訂單批量導出訂單查詢等功能便于醫藥企業對已發生計劃發生的服