https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

【資安分享】將資安管理納入醫療管理體系

2015 / 01 / 12
侍家驊
【資安分享】將資安管理納入醫療管理體系
醫療領域擁有國人最敏感的個資,資安人訪談衛福部許明暉處長,探討醫療安全防禦的規劃及做法。

醫療領域的基本資安要求
從美國HIPAA對隱私的規範,可以歸納出它有個非常基本要求,就是最小需要的原則,盡可能限縮使用範圍。另一個基本要求則是,必要性原則,不是該病人的資訊醫師同仁們就不該看。

台灣接觸病患資料的實際現象
因為醫院系統較複雜,台灣過去的習慣是,醫師可以看所有住院的病人資料。白天主治醫師有權限、到夜班又要給住院醫師權限、如果有會診,各會診醫師都要有權限。依不同醫院規模,住院醫師可看到百床甚至千床病患資料。依HIPAA正當性的原則,盡量做到事前授權,例如病患網路掛號成功後,醫師自然獲得授權看病患資料,或是會診需求確立,即獲得授權。一旦看診完畢,授權自動終止。然醫療環境特性,有時無法即時獲得授權,必須彈性方式處理,但也要配合事後解釋。從邏輯的角度出發,是否合理使用就顯得重要了。

醫院面對外界巨大的壓力
醫院的壓力有多大,舉前次Boston馬拉松賽的槍擊事件為例,該位存活的兇手送到的醫院,在病患住院期間,外部的攻擊蜂擁而至,可能包括CIA等單位都可能為了獲得資訊,都想盡辦法駭入資訊系統。這是一個特殊案例,但也顯出醫療院所承受外界帶來的資安壓力。

源遠流長的台灣衛生醫療資訊體系
前衛生署署長葉金川在20-30年前,那時是主機的M時代,規畫HIN (Health Information Network)全國醫療資訊系統中的專屬網路,連接300-400家衛生所。承襲這早期就建立的優良系統,目前全國各地,例如任何人到診所,拿了普拿疼,3天後就自動歸戶完成。全國的醫療院所每天下班後,將所有資料送到健保署,就自動歸戶。同時將所有資料如感冒、或疾病資料送疾管署,有專業統計人員,可以在3天內分析疾病動態發展狀況。我們其實已經有一套紮實的資訊系統。而且是透過VPN的封閉系統。

電子病歷是分別存在各醫院的主機中,有超過300家醫院有建立索引。必須同時要有病人IC card、相關醫事人員卡、專屬讀卡機(每台讀卡機有專屬安全模組)、還須透過VPN才能擷取資料,缺一不可。 方便性與安全性之間有衝突,常常必須取得一個平衡。在醫療體系,安全必須遠高於方便性。 從HIPAA的精神也看得出,天底下沒有絕對的安全,能做的是評估風險、以及這風險能不能承受。

對醫療院所的資安推動
- 鼓勵醫療院所投入更多資源在資安,同時強化防禦能力。
- 從行政面來看,該訂定哪些規範來約束不當行為。同時建立資訊安全管理系統,建立防禦機制,更重要的是推動安全文化,讓大家都重視安全。
- 從技術防範面來看,強化醫事人員卡與相關憑證的管理,強化接觸敏感資訊的權限管理。
- 從實體安全看,該有哪些門禁管制與監控設施等。透過實體的門禁管制,規範人員接觸敏感資訊的範圍,透過實體監控來產生嚇阻或事後採證。

醫療評鑑中納入資安查覈
對國內醫療院所來說,由醫策會主導,每四年做一次醫療評鑑是很重要的一環。醫療評鑑結果會影響,健保局給付方式及給付的多寡。資安納入醫療評鑑已經一段時間了,對於醫療院所的資安要求,多少起了一定的督導效果。

除了評鑑之外,衛福部還會提出獎勵鼓勵醫院將資安做更好。例如之前補助金額讓院所建立ISMS並取得ISO27001驗證,經費可以花在ISMS建立、或是買設備都可以。目的是希望各院所能建立一個資安管理體系,並持續建立一個有安全文化的組織。因為即使取得ISO驗證,也不代表不會出事,落實安全文化才是重點。

個資法通過,對醫院也是一個警惕。萬一出事無論是集體訴訟、即使是單一個例但只要事證明確,都會帶來極大的衝擊,對醫療院所必須更高度重視資安。

國內除了501家大小醫院,還有9,000多家西醫診所、3,500多家牙醫、6,500多家中醫診所。這麼多的醫療單位如何管理? 各地區的衛生局就是各地方主管機關,有新醫療院所要成立,也是向各地衛生局申請。衛福部將投入必要資源給各衛生局,強化各地衛生局的資安相關督考功能。目前也規劃系列訓練活動,協助他們更了解如何看資安、以及該有的SOP是甚麼?...等。

資安資源共享是理想方向
目前健保VPN是健保署維運與本部無關,其他四個署也還是獨立運作。集中是理想,但必須大家都認同整合的好處。
這也牽涉到,資訊服務被定在哪個位階? 它是一個低階執行的工作、還是組織治理上的重要工具? 就像馬車與馬的關係,資訊服務是馬還是馬車? 集中整合是很好的方向,但日常運行不能停。公務機關不可能建好新系統,再將舊系統切到新系統上線,比較像穿著衣服改衣服,要不要改? 不改最穩,但無法進步。所以,只能在既定方向上,每天順利運行下,朝規劃方向慢慢前進。 加上部門別間,是否都認同整合的好處?

資訊一條鞭有好有壞。人事、會計一條鞭,因為較具獨立性,可為之。但資訊服務與業務關連性高,一條鞭容易各行其事。

當然,資安的特殊性與獨立性較高,則適合一條鞭。同時,部內有小雞比母雞大的情形,資源更豐沛、業務又獨立,整合上有實際難度。部內應屬健保署資安防護能力、等級最高,可以分享規畫。

政府採購的彈性思考
對於SOC委外廠家無法固定一家,每年都要透過招標程序重新招標,這種安全工作如果常換是否恰當? 甚至外稽等需求,還是必須在採購法框架下行之,仍須符合會計、政風的要求,否則公務員不該冒著違法的方式去做事。在合法下找不到好廠家,就是法的問題了。