亞東院訊電子報
亞東院訊相片
   

亞東醫院通過 ISO 27001 資訊安全認證

資訊處 楊基譽主任

 

亞東院訊相片資訊帶來便利,也帶來新的問題
 著資訊科技的發展,資訊應用在醫院的運作上幾乎是無所不在。掛號、批價、開立處方、領藥、作檢查、看報告、.....等,都是透過電腦進行。資訊科技的應用,讓作業更有效率、更便利。

 但是在享受資訊科技所帶來的便利時,也面臨一些新的問題。首先,醫院的作業越來越依賴電腦系統,一旦電腦系統發生問題就會天下大亂,要如何保持系統的正常運作呢?電腦或是硬碟可能故障,所保存的資料會不會遺失?另外,我們平常用簽名蓋章來表示對文件作負責,在電腦上要如何簽名或蓋章呢?更重要的問題,因為透過資訊系統,可以在遙遠的距離取得大量的資料,那要如何保護個人的隱私不會外洩呢?這些議題,都是「資訊安全」的範疇。資訊安全的要素就是:可用性、完整性、與隱私性。

亞東院訊相片保障資訊安全,是永無止盡的努力目標
 本院為了讓資訊系統能持續運作,又同時兼顧資料的完整性與隱私保護,已經投入許多資源。例如:我們重要的系統有雙套機器,即使一套發生問題,還可正常運作。我們的資料要定期自動作備份,即使機器突然壞掉,也不用擔心資料不見。使用電腦時,都要輸入資料使用者名稱與密碼,我們再根據使用者的身分,限制他所能接觸到的資料。當然醫院也設立了強固的防火牆、防毒系統以及入侵偵測系統。這一切的努力,都是為了保障資訊安全。

 但是即使投入最多的資源,建置最先進的系統,也有出問題的時候。連最講究安全的飛機場管理系統都會發生當機事件,連美國國防部的電腦系統都曾被入侵,我們對資訊安全的工作,自然是要持續的努力與用心。

ISO 27001 : 用系統化的方式把資訊安全作的更好
 做事要講究方法,才能獲致最大的效益。在為資訊安全付出時,我們走對路,才不會事倍功半。本院希望以系統性的方式持續提升資訊安全,也希望了解我們現在作的如何,還有哪些要再努力,所以我們參與了 ISO 27001 的認證。

   ISO 27001 是資訊安全的國際標準,有一套嚴謹的評估資訊安全與持續改善的制度。 ISO 27001 與大家熟悉的 ISO 9000 系列一樣,都要求標準化作業與落實執行。但是,ISO 27001 不僅注重過程也重視結果,對資訊安全有許多要求達到的標準。藉由 ISO 27001 的認證,讓我們能正確評估現在作的如何,也可以學習如何把資訊安全作的更好。恰好衛生署也正在推動醫療院所的資訊安全輔導計劃,所以我們決定參與 ISO 27001 認證。

參與ISO 27001認證,是一件很繁忙的事

 ISO 27001,由國際標準組織 (ISO)訂定資訊安全相關的標準,再由獲得授權的認證機構來檢查我們是否符合標準。為了順利通過 ISO 27001 認證,也獲得最大的效益,亞東醫院資訊處幾乎是全員投入,也獲得院長、副院長的高度支持。我們首先派員參與講習,熟悉ISO 27001的運作方式,受訓人員再成為種子,帶動所有資訊處成員。除了醫院人員的努力,也需要專業顧問的指導。

 就跟所有 ISO 一樣,有許多的文件要制定,明定各樣流程與規範。流程與規範制定之後,就要落實執行,所以要忠實的紀錄,也要有稽核制度。發現問題,就要有矯正與預防措施,還要定期追蹤矯正與預防措施的執行成效。另外,ISO 27001對機房、網路、電腦、軟體開發與人員運作,都有明確的標準與規範。這些規定的精神就是教我們資訊安全的需求與持續增強資訊安全的方法。

 為了符合這些要求,我們各項從頭檢視我們的資訊系統,釐清每個子系統與功能的重要性,查核每個子系統與作業流程的現況,確實作好「風險評估」,並提出相對應的防護需求。並針對風險高的項目,擬定改善措施。

 每個程式上線,都有一定的流程,每個人進入機房都要留下紀錄,每台重要的機器都要定期做檢查,系統時間也要定期校對。每個使用者的權限要有明確規範,也要定期更改密碼。重要系統要有備援機制、重要資料要定期備份,還要定期演練這些預防措施是否有效。而且所有的作為都要留下紀錄,還要稽核紀錄確不確實。

ISO 27001 認證,是一種肯定,也是一種學習
 準備好了,就要接受考試,正式考試前還要有模擬考。經由大家的努力,我們於2009年 12月經由德國 TUV NORD 公司的檢驗,通過 ISO 27001 的正式認證,於2010年1月收到證書。取得證書只代表現在合格,每年還要再接受複評,看我們是否能持續做好資訊安全的工作,符合資訊安全的標準。

 通過 ISO 27001 認證,表示我們對系統可靠性與資料隱私性的保護上,有一定的水準。民眾就醫可以更放心,不用擔心資料遺失或是被外洩。

 獲得認證的肯定,當然是一種榮耀,對我們也是一種鼓勵。但是,我們更經由參與和學習,知道如何以系統化的方式,確實做好資訊安全的工作。

通過認證,只是一個起步

 本院的目標是建立全面電子化的醫院,整個醫院的作業,均要透過資訊系統運作。所以資訊系統的可用性,資料的完整性與隱私性,都要獲得確實的保障。

 現在也正在進行電子病歷的計畫,未來,醫療人員在電腦上輸入資料,經由電子簽章與保護機制,就形成有正式法律效力的病歷紀錄,而不需要再製作紙本病歷,也不需要簽名蓋章。如何在資訊安全的基礎上,提供民眾就醫最大的便利性與安心,是我們未來持續努力的方向與無可推卸的職責。