中國附醫「資訊、網路隱私安全」獲國際最高規 雙驗證
後疫情時代,遠端辦公等數位工作模式加速全球數位化的進程,機構內部也傳出貴重資料外洩、變化莫測的病毒及駭客攻擊等事件。為避免經營帶來巨大的衝擊以及提升智慧醫院的安全標準,中國醫藥大學附設醫院周德陽院長成立資安推動小組、個資保護小組,並帶領資訊室、醫工室、工務室、人體生物資料庫、醫事室等跨領域科室共同努力於資訊、網路以及個資保護等三大安全領域。周德陽院長指出,中醫大附醫除了加強資訊安全的管理和控制,還提高全院員工資訊安全意識,持續導入資安技術和產品測試,定期進行資訊安全演練和檢測修補。
周德陽院長強調,資訊安全管理最有效的推動方式就是通過第三方驗證,因此帶領同仁在資訊安全、網路安全,以及個人/病人隱私三大安全管理領域申請「ISO/CNS 27001:2022」及「ISO 27701:2019」雙國際驗證,鼓勵同仁接受高標挑戰。他很高興團隊攜手努力通過此兩項驗證,中醫大附醫也是首家取得此兩項國際高標安全驗證的醫療院所,成功展現醫院對於病人病歷與隱私安全之高度重視。
ISO 27001:2022 改版內容更貼近於資通安全管理法的要求,從資訊安全(Information Security)面向延伸至網路安全(Cybersecurity)及隱私保護(Privacy protection),更加強技術面資安管理,如威脅情資、雲端服務、組態管理、資料保護等議題。中醫大附醫於2023年初開始規劃改版驗證,5 月完成所有體系院所資安人員2022 年版 LA 轉版,歷經 4 個月完成 2022 年版政策與程序改版及落地執行,並於 2023 年 10 月至 12 月期間由SGS 對中國醫藥大學體系醫療院所共 7 家進行聯合外稽並通過驗證。
ISO 27701:2019 即隱私資訊管理驗證,為 ISO 國際標準組織於 2019 年發布之 PIMS 國際標準。衛生福利部2023 年 2 月公告,受委託建置及管理電子病歷資訊系統者必須於公告日起三年內取得 ISO 27701 驗證。雖然還有三年寬限期,中醫大附醫立即開始規劃驗證,以半年時間完成 PIMS 政策與程序訂定及落地執行,亦於 2023 年 10 月至 12 月期間由 SGS 進行外稽並通過驗證。
中醫大附醫陳俊良資通安全長表示,中醫大附醫深刻體會「資安即病安」,資通安全與個資保護沒有 100 分,必須持續改善,而導入國際驗證助益於引導改善的方向。本院除訂有「個資保護管理政策」及「隱私權宣告」,十多年前即導入 ISO 驗證,協助建立相關管理機制,以落實「資通安全管理法」、「個人資料保護法」等法規之要求。早在 2009 年即通過 ISO 27001 資訊安全管理系統 ISMS 驗證,於 2023 年首家通過 ISO 27001:2022 轉版驗證。在個人資料管理方面,於 2020 年即通過性質類似的 ISO 29100,範圍涵蓋電子病歷系統以及病人與醫院從業人員的個人資料,所以才得以最短時間率先通過 ISO 27701,為第一家獲得驗證的醫療院所。
中醫大附醫藉由成功取得 ISO/CNS 27001:2022 及 ISO 27701:2019 的雙驗證,清理可能安全漏洞,確保醫療院所資訊安全、網路安全與個資保護三大領域,皆獲得嚴密有效管理,在保護病人個資的同時,也為醫院智慧醫療安全,做更周全的把關。