觀點

健康資訊安全管理系統

2009 / 07 / 16
樊國楨,王演芳,黃健誠
健康資訊安全管理系統
使用 「ISO/IEC 27002於健康資訊安全管理」的ISO 27799:2008(E)正式發行,資訊安全管理系統的標準化過程已進入體系知識之「重組網絡」的境界。

  由於電子科技的一日千里,電腦與網路之結合,已在21世紀的起始發出了令人眩目之光環,對人類社會文明所產生的影響與衝擊,顯示了今日資訊技術的發展路途,在科學、工程與人文之研究中,「跨領域」的整合不再僅是「研發及瞭解」而已,更直接進入「實作與執行」之階段。隨著資訊設施的日益普及,健康照護領域各方面之運作均依恃資料及資訊,大量的資料幾乎在欠缺一定結構之紙本環境下產生,健康資訊(Health informatics)技術正變更健康照護產業及其處理資料,產生資訊以及提供知識的方法,同時改變醫護人員工作之方式中。

  醫療科技的進步,使得人民平均壽命逐年延長,促使人口年齡結構老化。隨著高齡化社會來臨,高齡者改善健康的需求改變,其病人安全議題備受世界各國重視。1999年美國醫學研究機構研究報告中提出病人安全議題,美國每年約有44,000至98,000人因為可預防的醫療錯誤而死亡,居當年十大死因第8位,遠高於乳癌、交通事故及愛滋病的死亡人數,造成國家財務花費每年約170至290億美元,因此引起全球對醫療錯誤的重視,使得醫療業對病人安全的議題更加關注。為了降低醫療錯誤對病人造成的傷害,各國政府成立相關機構來推動病人安全之工作。2003年美國醫療機構評鑑聯合會根據事件通報之經驗提出對病人安全之六大目標,包含有「改善病人辨識的準確性」、「改善健康照護者溝通的有效性」、「改善高危險性藥物的安全性」、「改善使用輸液幫浦的安全性」、「改善手術病人、位置及程序等錯誤」、「改善臨床警報系統的有效性」,2004年增加第7項目標為「降低經健康照護得到感染的風險」,作為病人安全推動之目標。國內在發展病人安全的過程,在2003年9月行政院衛生署正式報行政院成立並分成3期建置「感染症防治醫療網」,於2007年12月完成。世界衛生組織則提出病人安全的維護應包含醫療不良及偵查,因此,需要建構一個完善的「病人安全事件通報管理資訊系統」,才能有效提供醫療人員從錯誤中學習的機會,以有效降低醫療錯誤的傷害。整合生命財產安全與資訊安全,提昇病人安全、營造安全之就醫文化,並促進醫療機構間的經驗分享及共同學習已成為健康資訊安全控制之標的。

健康資訊ISMS初探

  ISO/IEC JTC1/SC27資訊安全管理模型中之「應用指引與增補」( 1 .稽核:ISO 19011:2002(E)。2 .財務:ISO TR 13569:2 0 0 5 ( E )。3 .醫療:ISO 27799:2008 ( E )。4 .電信:ISO/IECFDIS27011 :2008-03-29。)是經濟合作暨發展組織(OECD)公布的「資訊系統與網路安全指導綱要-朝向安全之文化」全景中之重要組件,健康資訊安全管理系統之ISO 27799是針對前述健康資訊系統安全控制措施的要求,ISO公布之第1份遵循圖1框架的ISMS標準,隨著ISO/IEC 27799:2008-07-01(以下簡稱ISO 27799)等之陸續頒布,不同領域ISMS控制措施的要求應不同,已是我國宜面對之議題。

  表1是ISO 27799之組成中,敘述為應(Shall)的29項強制性(Mandatory)控制措施表列,表2是其擴增ISO 27002:2005(E)控制措施之統計。ISO 27002:2005(E)中的133項控制措施中之59項控制措施在ISO 27799中已要求擴增,同時增加了2項控制措施;除了量的增加外,質之要求亦為須注意的事項,以其第7.9.2.1節為例,已涉及歐盟與美國均已規範之電子化儲存資訊(ESI, Electronically stored information)的資訊保存政策,表3是ESI已發生之民事訴訟的判例。

  健康資訊之輸入/出確認,因涉及病人生命財產安全的議題。ISO 27799第7.9.2.1節之要求於實作時的範疇框架,其相依性宜審慎處理。健康資訊之安全管理系統涉及醫療與護理的專業,其建置除ISO 27799外,仍宜遵循ISO 22857 (2004)、ISO/TS22600-1 (2006)、ISO/TS 22600-2 (2006)等相關標準,方能契合其要求。

  當我國之「ISMS驗證」已被批評為:「不再是探討ISMS的社會實踐,而僅是一種譁眾取寵金玉其外之櫥窗商品時」,針對ISO 27799的要求,實應展開更深入之思考與討論,本節僅就其第7.9.2.1節的要求,淺析實作宜考慮之「資訊保存政策」的議題,以為例證。

資訊安全治理初探-根基於美國聯邦資訊安全管理法計畫

  資訊化的浪潮席捲全球,一種全新先進技術之出現,把人類的生活帶引至知識經濟之數位社會。然而,人們在享受數位社會帶來之巨大利益的同時,也面臨著資訊安全問題之嚴峻考驗。

  健康資訊之資訊產品、系統與服務(註:以下通稱資訊系統)之複雜度已至空前的等級,增加組織建立暨使用資訊系統安全之挑戰。這些挑戰存在於整個系統生命週期中,及其結構細節等級中,它們的產生來自:(1)所建立之健康資訊系統的硬體、軟體與使用者之間固有的差異。(2)健康資訊系統涉及之專業領域缺乏調合及整合,其深層知識包括醫學、工程、管理、財務與行為等。(3)幾乎每個健康資訊系統均植基於通、資訊基礎技術及其塑模之支援,而其技術尚在發展中。

  因此資訊系統安全治理(保證)宜建立包括資訊系統生命週期所涵蓋範疇的共同框架,形成一個參考標準之完整集合,冀期相關組織可以依此集合來建構適合其資訊系統安全保證宜使用的方法之子集合,做為落實資訊安全保證的規範。

  美國以「資訊保證」為標的之資訊安全管理工作,已在2007年完成聯邦資訊安全管理法(FISMA,Federal Information Security Management Act)計畫第一階段的目標(FISMA相關之安全標準與指導綱要發展),並於2006年10月公布資訊安全治理定義:

? 資訊保證

在資訊處理作業中,經由確認資訊與資訊系統之可用性、完整性、鑑別性、機密性及不可否認性來保護與防禦資訊和資訊系統,並包含具體化的防護、偵測與反應能力以提供資訊系統損害之復原。

? 資訊安全治理

定義為建立與維護框架、支援管理之結構及程序,以及提供下列保證的流程:在努力管理風險下,使資訊安全策略與業務目標一致、支援業務目標,藉由嚴守政策與內部控制以符合相關法規,以及提供職責之指派。

  美國自1998年起致力於包含健康資訊系統在內之CIIP(關鍵基礎建設資訊安全)機制的建立,在其擴及民間的FISMA計畫之第二階段(安全評鑑服務提供者之驗證與認證計畫的發展)的工作項目中,資訊治理與COBIT是其核心組件之一。

  九十年代全球文明歷經了重大的轉變,品質、環境和安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式,ISO 9000品質管理和ISO 14000環境管理系列標準的遵從,是最佳的佐證。2006年6月16日,遵循ISO/IEC 27001之資訊安全管理的系統驗證等之國家標準已正式公布,成為創建可信賴資訊作業環境的指引;若善加運用,以圖2為實作ISO 27799資訊安全治理的框架等,不僅可以提昇ISMS之信賴度,亦有助於健康資訊ISMS驗證品質文化的塑造。

結論

  從廣義的角度來看,標準化就是一種所設定的標準作有組織、有系統地靈活運用之行為;為了所有關係人的方便與利益為目的,而能夠以有規律地與正確地邁向特定的活動而制定的規則與程序。

  在資訊安全標準化之過程中,研究「標準」是需要「同情」與「推理」的能力,「同情」是與制定「標準」之人有相同之情,那麼體驗的「標準」自然是立體、多元的。「同情」加上「推理」,則「標準」是活的,每一分「標準」之頒布是因或果,是一個趨勢的契機或是成績,「標準」是無數之偶然形成,但是亦絕非偶然,「標準」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移之力;資訊安全的「標準」更需整合自然科學及社會科學之脈絡來解讀、推理,方能溶入文化與數位台灣渾然為一體。當ISMS標準化之過程已顯現「香蕉皮話語(Banana-peel words)」且無人指責時,如何正視ISMS標準化的議題已是必須面對之現象。ISMS品質文化的淪落,最後終將使得社會對其驗證失去基本信任,我們不應只陷入「通過驗證」之泥淖,在那裏被「香蕉皮話語」搞成混沌一片,更重要的是如何重建ISMS標準化之基本價值,恢復大家對ISMS驗證合格的信心,方是國家資訊安全標準發展之首務。ISO 27799的發行,意味著ISMS標準化之進程已邁向資訊安全管理體系知識的境界,如何善用此契機,應是我國ISMS標準化改進之關鍵行動方案的議題之一。

表1 ISO 27799 29項強制性控制措施表列
ISO/IEC
27002:2005(E)
節碼
ISO
27799:2008
(E)節碼
ISO/IEC
27002:2005(E)之節碼
名稱
A.5.1.1 7.2.1 資訊安全政策文件
A.6.1.1 7.3.2.1 管理階層對資訊安全的承諾
A.6.1.2 7.3.2.1 資訊安全協調工作
A.6.1.3 7.3.2.1 資訊安全責任的配置
A.6.1.5 7.3.2.3 機密性協議
A.6.2.1 7.3.3.1 與外部團體相關的風險之識別
A.6.2.3 7.3.3.3 第三方協議中之安全說明
A.8.3.3 7.5.3.2 存取權限的移除
A.9.2.5 7.6.2.3 場所外設備的安全
A.9.2.6 7.6.2.4 設備的安全汰除或再使用
A.9.2.7 7.6.2.5 財產的攜出
A.10.1.2 7.7.1.2 變更管理
A.10.1.4 7.7.1.4 開發、測試及運作設施的分隔
A.10.3.2 7.7.3.2 系統驗收
A.10.4.1 7.7.4.1 對抗惡意碼的控制措施
A.10.5.1 7.7.5 資訊備份
A.10.7.2 7.7.7.2 媒體的汰除
A.10.7.3 7.7.7.3 資訊處理程序
A.10.8.1 7.7.8.1 資訊交換政策與程序
A.10.8.2 7.7.8.1 交換協議
A.10.10.3 7.7.10.4 日誌資訊的保護
A.10.10.6 7.7.10.7 資訊同步
7.8.8.1 備考:ISO27799:2008(E)於存取控制之一般性要求。
A.11.1.1 7.8.1.2 存取控制政策
A.11.2.1 7.8.2.1 使用者註冊
A.11.2.2 7.8.2.2 特權管理
A.11.6.1 7.8.5.1 資訊存取限制
7.9.2.1 備考:ISO27799:2008(E)擴增之節碼名稱為:「照護主題之唯一識別(Uniquely identifying subject of care)」
A.12.2.4 7.9.2.5 輸出資料確認
備考:ISO 27799:2008-07-01將ISO/IEC 27002:2005(E)中之27項控制措施與擴增的2項控制措施之敘述,改為應的強制性要求。

表2 ISO 27799:2008(E)擴增之控制措施條款表例
ISO/IEC 27002:2005(E)
之節碼
條款名稱(Clauses) ISO/IEC 27002:2005(E)
之控制措施
ISO 27799:2008(E)
擴增之控制措施
5 安全政策 2 2
6 資訊安全之織 11 6
7 資產管理 5 3
8 人力資源安全 9 9
9 實體與環境全 13 13
10 通訊與作業全 32 24
11 存取控制 25 10*
12 資訊系統獲、發展與維護 16 3*
13 資訊安全事故管理 5 3
14 營運持續管理 5 5
15 遵循 10 3
* ISO 27799於存取控制之ISO/IEC 27002:2005(E)的25項控制措施中,除擴增其中10項控制措施外並增加1項控制措施;同時在資訊系統籌獲、發展與維護之ISO/IEC 27002:2005(E)的16項控制措施中,除改寫其中3項控制措施外亦增加1項控制措施。

表3 資訊保存政策訴訟判例
1. 實例(Zubulake v. UBS, 02-CV-1243, U.S. District Court Southern District of New York):
Zubulake, L.女士(以下簡稱Z女士)於2003年提出對UBS Warburg LLC. (以下簡稱UBS)之告訴,要求UBS進行電子探勘以舉證。Scheindlin, S.法官歸納出以下5項須進行線上電子探勘,由Z女士分攤25%,UBS分攤75%之工作成本:(1) 有效(Active)的線上資料。(2) 近似線上(Near-line)之自動(Roboti   c)化資料。(3) 離線儲存之歸檔(Archives)資料。(4) 備分磁帶資料。(5) 已刪除一片段的或損毀的資料。
UBS於收到法院通知後,致使因2005年時找不到部分電子郵件等未能善盡資訊保存之責任的狀況,被判應給予Z女士910萬美元補償與2,020萬美元之懲罰性賠償。

2. 資訊保存政策:闡明機關(構)對實體與電子文件之分類及機密等級、保存時間、方式以及保管人員的職責,應遵循之法規與內部稽核及資訊安全治理的要求。
ISO 27799:2008-07-01之第7.2.1節、第7.4.1節、第7.9.2.1節、第7.12.2.1節、第7.12.3節等控制措施的實作均與ESI及資訊保存政策相關。