可信工程入口阶段 71 可信工程入口阶段需要针对第三方商业采购依赖产品、开源产品和第三方合 作开发产品进行管控。管控要素需要包括产品的来源、产品成分、产品合规及产 品服务支持、安全应急响应。 对于第三方商采和合作开发的供应商，需要从其能力资质，人员组织稳定性， 服务水平、财务信用状况，资金流水，信誉评级，营业执照及其相关行业认证等 多方面进行供应商的评估管理，确保第三方产品供应商的可信。 行安全监控防护，主动收集相关威胁情报，发现漏洞及安全风险及时进行信息同 步，对漏洞进行动态的跟踪闭环管理，提供修复方案并进行修复验证。 对于服务支持和应急响应，需要明确针对软件的服务支持方式以及服务水平、 安全服务协议，当发生紧急安全事件需要有明确的应急响应人员及流程机制，确 保安全事件处理的及时有效。 ⚫ 可信工程自身研发运营阶段 可信工程自身研发运营阶段需要涵盖从安全需求分析设计、开发验证、发布 赖组件的安全风险。 对于测试验证过程，需要对系统及功能模块进行安全及隐私相关测试，漏洞 扫描，模糊测试，渗透测试识别系统的可信风险。 对于发布过程，需要有规范的发布流程，有可信检查节点和应急响应预案。 对于运营过程，需要对已上线的软件应用服务、业务系统进行可视化安全监 控与防护。对于风险和安全事件有统一的评估机制和处理流程，需要有持续的运 营反馈机制闭环解决产品系统问题。

健康等业务：1）智慧医院：提供覆盖医院各类业务及日常管理的信息化产品，支 持区域化信息共享与协同。2）智慧卫生：以全域健康一体化中枢为核心，打造协 同融合、数据聚能的全民健康基座，支撑医疗与公卫协同、突发公卫应急及全民健 康治理等场景。3）互联网+医疗健康：联合医院、医保、商保及药企，覆盖医疗 服务、健康管理、医保风控等环节，构建三医联动的闭环生态，推动盈利模式从软 件实施向 O2O 及 B+B2C 拓展。