【資安分享】將資安管理納入醫療管理體系

2015 / 01 / 12

侍家驊

醫療領域擁有國人最敏感的個資，資安人訪談衛福部許明暉處長，探討醫療安全防禦的規劃及做法。

醫療領域的基本資安要求
從美國HIPAA對隱私的規範，可以歸納出它有個非常基本要求，就是最小需要的原則，盡可能限縮使用範圍。另一個基本要求則是，必要性原則，不是該病人的資訊醫師同仁們就不該看。

台灣接觸病患資料的實際現象
因為醫院系統較複雜，台灣過去的習慣是，醫師可以看所有住院的病人資料。白天主治醫師有權限、到夜班又要給住院醫師權限、如果有會診，各會診醫師都要有權限。依不同醫院規模，住院醫師可看到百床甚至千床病患資料。依HIPAA正當性的原則，盡量做到事前授權，例如病患網路掛號成功後，醫師自然獲得授權看病患資料，或是會診需求確立，即獲得授權。一旦看診完畢，授權自動終止。然醫療環境特性，有時無法即時獲得授權，必須彈性方式處理，但也要配合事後解釋。從邏輯的角度出發，是否合理使用就顯得重要了。

醫院面對外界巨大的壓力
醫院的壓力有多大，舉前次Boston馬拉松賽的槍擊事件為例，該位存活的兇手送到的醫院，在病患住院期間，外部的攻擊蜂擁而至，可能包括CIA等單位都可能為了獲得資訊，都想盡辦法駭入資訊系統。這是一個特殊案例，但也顯出醫療院所承受外界帶來的資安壓力。

源遠流長的台灣衛生醫療資訊體系
前衛生署署長葉金川在20-30年前，那時是主機的M時代，規畫HIN (Health Information Network)全國醫療資訊系統中的專屬網路，連接300-400家衛生所。承襲這早期就建立的優良系統，目前全國各地，例如任何人到診所，拿了普拿疼，3天後就自動歸戶完成。全國的醫療院所每天下班後，將所有資料送到健保署，就自動歸戶。同時將所有資料如感冒、或疾病資料送疾管署，有專業統計人員，可以在3天內分析疾病動態發展狀況。我們其實已經有一套紮實的資訊系統。而且是透過VPN的封閉系統。

電子病歷是分別存在各醫院的主機中，有超過300家醫院有建立索引。必須同時要有病人IC card、相關醫事人員卡、專屬讀卡機(每台讀卡機有專屬安全模組)、還須透過VPN才能擷取資料，缺一不可。方便性與安全性之間有衝突，常常必須取得一個平衡。在醫療體系，安全必須遠高於方便性。從HIPAA的精神也看得出，天底下沒有絕對的安全，能做的是評估風險、以及這風險能不能承受。

對醫療院所的資安推動
- 鼓勵醫療院所投入更多資源在資安，同時強化防禦能力。
- 從行政面來看，該訂定哪些規範來約束不當行為。同時建立資訊安全管理系統，建立防禦機制，更重要的是推動安全文化，讓大家都重視安全。
- 從技術防範面來看，強化醫事人員卡與相關憑證的管理，強化接觸敏感資訊的權限管理。
- 從實體安全看，該有哪些門禁管制與監控設施等。透過實體的門禁管制，規範人員接觸敏感資訊的範圍，透過實體監控來產生嚇阻或事後採證。

醫療評鑑中納入資安查覈
對國內醫療院所來說，由醫策會主導，每四年做一次醫療評鑑是很重要的一環。醫療評鑑結果會影響，健保局給付方式及給付的多寡。資安納入醫療評鑑已經一段時間了，對於醫療院所的資安要求，多少起了一定的督導效果。

除了評鑑之外，衛福部還會提出獎勵鼓勵醫院將資安做更好。例如之前補助金額讓院所建立ISMS並取得ISO27001驗證，經費可以花在ISMS建立、或是買設備都可以。目的是希望各院所能建立一個資安管理體系，並持續建立一個有安全文化的組織。因為即使取得ISO驗證，也不代表不會出事，落實安全文化才是重點。

個資法通過，對醫院也是一個警惕。萬一出事無論是集體訴訟、即使是單一個例但只要事證明確，都會帶來極大的衝擊，對醫療院所必須更高度重視資安。

國內除了501家大小醫院，還有9,000多家西醫診所、3,500多家牙醫、6,500多家中醫診所。這麼多的醫療單位如何管理? 各地區的衛生局就是各地方主管機關，有新醫療院所要成立，也是向各地衛生局申請。衛福部將投入必要資源給各衛生局，強化各地衛生局的資安相關督考功能。目前也規劃系列訓練活動，協助他們更了解如何看資安、以及該有的SOP是甚麼?...等。

資安資源共享是理想方向
目前健保VPN是健保署維運與本部無關，其他四個署也還是獨立運作。集中是理想，但必須大家都認同整合的好處。
這也牽涉到，資訊服務被定在哪個位階? 它是一個低階執行的工作、還是組織治理上的重要工具? 就像馬車與馬的關係，資訊服務是馬還是馬車? 集中整合是很好的方向，但日常運行不能停。公務機關不可能建好新系統，再將舊系統切到新系統上線，比較像穿著衣服改衣服，要不要改? 不改最穩，但無法進步。所以，只能在既定方向上，每天順利運行下，朝規劃方向慢慢前進。加上部門別間，是否都認同整合的好處?

資訊一條鞭有好有壞。人事、會計一條鞭，因為較具獨立性，可為之。但資訊服務與業務關連性高，一條鞭容易各行其事。

當然，資安的特殊性與獨立性較高，則適合一條鞭。同時，部內有小雞比母雞大的情形，資源更豐沛、業務又獨立，整合上有實際難度。部內應屬健保署資安防護能力、等級最高，可以分享規畫。

政府採購的彈性思考
對於SOC委外廠家無法固定一家，每年都要透過招標程序重新招標，這種安全工作如果常換是否恰當? 甚至外稽等需求，還是必須在採購法框架下行之，仍須符合會計、政風的要求，否則公務員不該冒著違法的方式去做事。在合法下找不到好廠家，就是法的問題了。

資安醫療衛服部