希望有效落實醫院資訊安全,筆者認為需要透過委員會模式,由醫療副院長或是資安長負責主導,並且由資訊室依照資訊安全管理系統(Information Security Management System;ISMS),進而架構、實施、維護,以及根據各時代個資法的要求,與時俱進地規劃與持續改善,最後則是由臨床醫護人員、行政單位、醫事單位進行盤點和設計制度、整合流程。
落實醫院資訊安全除了需要諸如「防毒科技」、「異地備份與備援」、「網路防護與記錄」與「伺服器警示通報」,但這些都屬於基礎建置環境。隨著網路與物聯網(IoT)時代的來臨,醫療儀器設備、影印機、門禁管理系統、電梯控制、緊急呼叫等設施都已經可以連網與互聯,也因此病患資料就會有外洩的風險問題,進一步涉及醫療服務核心、病人資料保存與安全等問題。有鑒於此,就需要規劃網路設備連線網路區段、監控數據傳輸流量、後端設備防護、存放數據沙盒。藉由建立上述流程與建置科技設備,才能有效建構醫院防護網。
關於很多人關心的「醫療院所資訊安全整體經費規劃」,建議從個資法與ISO27001(Information Security Management System;ISMS)的架構要求著手。
【MORE】