記者陳佳鈴/台中報導
▲為提升智慧醫院的安全標準,中國醫藥大學附設醫院周德陽院長成立資安推動小組、個資保護小組,共同努力於資訊、網路以及個資保護等三大安全領域(圖/中國附醫提供)
後疫情時代,遠端辦公等數位工作模式加速全球數位化的進程,機構內部也傳出貴重資料外洩、變化莫測的病毒及駭客攻擊等事件。為避免經營帶來巨大的衝擊以及提升智慧醫院的安全標準,中國醫藥大學附設醫院周德陽院長成立資安推動小組、個資保護小組,並帶領資訊室、醫工室、工務室、人體生物資料庫、醫事室等跨領域科室共同努力於資訊、網路以及個資保護等三大安全領域。周德陽院長指出,中醫大附醫除了加強資訊安全的管理和控制,還提高全院員工資訊安全意識,持續導入資安技術和產品測試,定期進行資訊安全演練和檢測修補。
周德陽院長強調,資訊安全管理最有效的推動方式就是通過第三方驗證,因此帶領同仁在資訊安全、網路安全,以及個人/病人隱私三大安全管理領域申請「ISO/CNS 27001:2022」及「ISO 27701:2019」雙國際認證,鼓勵同仁接受高標挑戰。他很高興團隊攜手努力通過此兩項認證,中醫大附醫也是國內醫界首家取得此兩項國際高標安全認證的醫療院所,成功展現醫院對於病人病歷與隱私安全之高度重視。
ISO 27001:2022改版內容更貼近於國內資通安全管理法的要求,從資訊安全(Information Security)面向延伸至網路安全(Cybersecurity)及隱私保護(Privacy protection),更加強技術面資安管理,如威脅情資、雲端服務、組態管理、資料保護等議題。中醫大附醫於2023年初開始規劃改版驗證,5月完成所有體系院所資安人員2022年版LA轉版,歷經4個月完成2022年版政策與程序改版及落地執行,並於2023年10月至12月期間由SGS對中國醫藥大學體系醫療院所共7家進行聯合外稽並通過驗證。
ISO 27701:2019即隱私資訊管理認證,為ISO國際標準組織於2019年發布之PIMS國際標準。衛生福利部2023年2月公告,受委託建置及管理電子病歷資訊系統者必須於公告日起三年內取得ISO 27701認證。雖然還有三年寬限期,中醫大附醫立即開始規劃驗證,以半年時間完成PIMS政策與程序訂定及落地執行,亦於2023年10月至12月期間由SGS進行外稽並通過驗證。
中醫大附醫陳俊良資通安全長表示,中醫大附醫深刻體會「資安即病安」,資通安全與個資保護沒有100分,必須持續改善,而導入國際認證助益於引導改善的方向。本院除訂有「個資保護管理政策」及「隱私權宣告」,十多年前即導入ISO認證,協助建立相關管理機制,以落實「資通安全管理法」、「個人資料保護法」等法規之要求。早在2009年即通過ISO 27001資訊安全管理系統ISMS驗證,於2023年領先全國醫療院所首家通過ISO 27001:2022轉版認證。在個人資料管理方面,於2020年即通過性質類似的ISO 29100,範圍涵蓋電子病歷系統以及病人與醫院從業人員的個人資料,所以才得以最短時間率先通過ISO 27701,為全國第一家獲得認證的醫療院所。
中醫大附醫藉由成功取得ISO/CNS 27001:2022及ISO 27701:2019的雙認證,清理可能安全漏洞,確保醫療院所資訊安全、網路安全與個資保護三大領域,皆獲得嚴密有效管理,在保護病人個資的同時,也為醫院智慧醫療安全,做更周全的把關。