中國附醫「資訊、網路隱私安全」獲國際最高規 雙驗證

周德陽院長強調，資訊安全管理最有效的推動方式就是通過第三方驗證，因此帶領同仁在資訊安全、網路安全，以及個人/病人隱私三大安全管理領域申請「ISO/CNS 27001:2022」及「ISO 27701:2019」雙國際驗證，鼓勵同仁接受高標挑戰。他很高興團隊攜手努力通過此兩項驗證，中醫大附醫也是首家取得此兩項國際高標安全驗證的醫療院所，成功展現醫院對於病人病歷與隱私安全之高度重視。

ISO 27001:2022 改版內容更貼近於資通安全管理法的要求，從資訊安全（Information Security）面向延伸至網路安全（Cybersecurity）及隱私保護（Privacy protection），更加強技術面資安管理，如威脅情資、雲端服務、組態管理、資料保護等議題。中醫大附醫於2023年初開始規劃改版驗證，5 月完成所有體系院所資安人員2022 年版 LA 轉版，歷經 4 個月完成 2022 年版政策與程序改版及落地執行，並於 2023 年 10 月至 12 月期間由SGS 對中國醫藥大學體系醫療院所共 7 家進行聯合外稽並通過驗證。

ISO 27701:2019 即隱私資訊管理驗證，為 ISO 國際標準組織於 2019 年發布之 PIMS 國際標準。衛生福利部2023 年 2 月公告，受委託建置及管理電子病歷資訊系統者必須於公告日起三年內取得 ISO 27701 驗證。雖然還有三年寬限期，中醫大附醫立即開始規劃驗證，以半年時間完成 PIMS 政策與程序訂定及落地執行，亦於 2023 年 10 月至 12 月期間由 SGS 進行外稽並通過驗證。

中醫大附醫陳俊良資通安全長表示，中醫大附醫深刻體會「資安即病安」，資通安全與個資保護沒有 100 分，必須持續改善，而導入國際驗證助益於引導改善的方向。本院除訂有「個資保護管理政策」及「隱私權宣告」，十多年前即導入 ISO 驗證，協助建立相關管理機制，以落實「資通安全管理法」、「個人資料保護法」等法規之要求。早在 2009 年即通過 ISO 27001 資訊安全管理系統 ISMS 驗證，於 2023 年首家通過 ISO 27001:2022 轉版驗證。在個人資料管理方面，於 2020 年即通過性質類似的 ISO 29100，範圍涵蓋電子病歷系統以及病人與醫院從業人員的個人資料，所以才得以最短時間率先通過 ISO 27701，為第一家獲得驗證的醫療院所。

中醫大附醫藉由成功取得 ISO/CNS 27001:2022 及 ISO 27701:2019 的雙驗證，清理可能安全漏洞，確保醫療院所資訊安全、網路安全與個資保護三大領域，皆獲得嚴密有效管理，在保護病人個資的同時，也為醫院智慧醫療安全，做更周全的把關。