a國立陽明大學衛生資訊與決策研究所、b 衛生署、c中央研究院
a [email protected] b [email protected] c [email protected]
摘要
醫療產業是一個需要高質量資訊的產業,許多的醫 療行為都必須要有正確的資訊才能進行,資訊科技 自然成為提昇醫療產業品質與效率的利器,然而資 訊安全相關問題確成為醫療資訊發展的阻礙。本研 究希望找到適用於醫療院所的資安評比標準並同 時對現況作一了解。在資安管理標準中英國標準協 會之 BS 7799 最為國際所接受,因此我們以 BS 7799 為標準來檢視各醫療院所之資安管理現況。
受限於時間與資料取得之困難,僅針對各醫院之
「 個人資料檔案安全維護計劃」 [1]以 及 CPRI
(computerized patient record institute)[7]所提供的 六家醫療院所之資安政策範本作文件審核。審核的 結果我們發現 BS 7799 雖不是針對醫療環境所設 計,但其控制項目大多適用於醫療環境。同時除了 病患隱私保護外,醫療院所重要的資安控制項目也 都為其所含括。我們依照 BS 7799 的格式針對病患 隱私保護訂第了四項目標及 13 項控制項目,刪除 了一些與醫療無關的控制項目提出了以 BS 7799 為基礎之醫療資安管理綜合版,因綜合版的要求可 能無法立即的達到,我們另訂定了核心版作為滿足 綜合版前之中程目標,短期來說我們也選出了應為 當務之急的精簡版 23 項的控制措施。
關鍵字
醫療資訊安全、BS 7799、覆蓋率、相關度
前言
近年來醫療院所也隨著電腦與網路的興起,利用資 訊科技來輔助處理醫院業務。如何用數位化的資訊 來取代紙本病歷,以減少資料儲存與管理的成本,
並使得病歷資料的交換與分享更方便,已成為醫療 資訊界一致的努力目標。如同在其他領域的應用一
樣,醫療院所朝著資訊化的方向邁進的時候也同樣 擔心資訊安全的問題。尤其醫療資訊常是個人極度 隱私的資料且醫病間的信任關係是高品質醫療照 護的基本要件,也因此可以理解為什麼在一項針對 醫療院所高階主管探討他們對醫療資訊安全與隱 私的看法的研究[2]中有 95%的高階主管都認為醫 療資訊安全與隱私是目前醫院管理的重要課題。同 樣的有 70%的高階主管都認醫療資訊安全缺乏規 範。在資訊安全規範這方面目前最成熟的應屬由英 國標準協會(BSI)所製定的資訊安全管理標準 BS 7799。
BS 7799 分為兩部份。[4][5][6]Part I 為資訊安全管 理實施準則,Part II 為資訊安全管理規範。Part I 在 1995 年公佈為英國國家標準,經過增補及其是 加入網路安全部份後,於 2000 年經 ISO 認證成為 ISO 之標準,編號為 ISO 17799。至於 Part II 是用 以檢核是否落實 BS 7799 Part I 所提之準則的檢驗 標準,於 1998 年成為英國國家標準,目前正在 ISO 審核。其內容共有 10 個管理要項,分為 36 個目標,
再細分為 127 項控制措施。
基於醫療院所對於資訊安全的重視,以及 BS 7799 在資安管理的成熟,所以使用 BS 7799 了解目前醫 療院所資訊安全的現況成為本研究動機。然而 BS 7799 之於醫療院所是不是過於嚴苛,所以檢討其 適用性,也是本研究之目的。然後提出國內醫療院 所資安管理的優先順序,做為醫療院所在推動資訊 安全一個參考的方向。
材料與方法
本研究採取檢測各醫院之資訊安全相關文件,並未 實際查訪任何醫療院所。樣本醫院的資訊安全相關 文件之來源分為二種,一種是推薦醫院,由美國 CPRI (Computerized Patient record Institute)網站
的 CPRI Toolkit[7]取得,其推薦之醫院共有 6 家,
Harvard Vanguard 、 KPNC 、 Mayo Clinic 、 Partners Healthcare System 、PCASSO 、Project Phoenix, Georgetown University(以下稱為推薦醫 院)。另一種是國內醫院的部份,我們收集了醫療 院所在電腦處理個人資料保護法通過後,依規定以 電腦處理個人資料之醫療院所提出的資安管理文 件,名為「個人資料檔案安全維護計劃」[1]的內 容,共有 22 份,做為本研究之研究材料。
檢測這 28 份文件之研究方法首先是評分表的製 作,是以 BS 7799 Part II 為基礎,並參考「行政院 主計處資通安全稽核服務團」[3]之評分表做修改 後所得。評分的等級分為 4 級,其原則:0 分代表 完全未提,文件中都沒有提到這項控制措施;1 分 代表不盡完整,文件中只提到有這項控制措施;2 分代表尚屬完整,文件中有提到這項控制措施,並 略加說明;3 分代表非常完整,文件中很清楚的說 明這項控制措施。為了方便分析資料,將以資料庫 之形式儲存評分資料。建立資料庫後,運用 SQL 語法做各種資料結果的量化和分析。如此的好處可 以快速找到我們所需的資料。
研究結果
根據研究方法,本研究對 6 家推薦醫院以及 22 家 國內醫院做檢測所產生之研究結果有四項:首先是 資安管理現況、檢討 BS 7799 之適用性、病患隱私 保護以及資安控制項目的優先順序。
推薦醫院之資訊安全現況,由文件看來,他們都有 資安組織來發展資訊安全政策並定期評估。具備傳 真、電子郵件通訊交換說明,以及區域網路存取控 制的說明,並有預防措施、備份、復原計劃。國內 資安管理文件現況相似度很高,原因是國內的檢測 文件「個人資料檔案安全維護計劃」[1]其內容局 限在資料安全、資料稽核、設備安全與其他安全事 項與病歷管理辦法。因資料的限制,相較於推薦醫 院,國內集中在必須符合個人資料保護法,安全出 入口限制、設備維護與電腦桌面清潔等一般控制這 些項目上。但是這二者也有相同之處,就是文件中 都有提到資料依其敏感度之不同而必須有不同的
處理方式。另外他們都重視病患隱私保護,推薦醫 院有許多篇幅在做這些描述,而國內醫院就使用病 歷管理辦法來描述對病歷隱私的重視。
然而本研究使用 BS 7799 這項工具檢測醫療院所 會不會太過嚴苛,所以有探討其適用性之必要。為 此我們定義二項指標:覆蓋率(Coverage)與相關 度(Relevancy)。覆蓋率是指對於醫療環境來說是 重要的控制項目中 BS 7799 所包含的比率。相關度 是指 BS 7799 所提出的控制項目中有多少比率是 在醫療環境中是重要的。當然我們並不知道對醫療 環境而言理想的控制項目集合為何,因此,我們採 用所收集到的醫療院所的資訊安全相關文件所提 及的控制項目之聯集來代表理想控制項目所成的 集合。
如圖一顯示,整個醫療院所的資訊安全是 b+c 的部 份共 105 項。依據本研究定義的覆蓋率指標即 b÷
(b+c),覆蓋率約佔 88%(92÷105×100%=88%)。 相關度指標即 b÷(b+a),約佔 72%(92÷127×100%
=72%)。由這二項指標來看,BS 7799 適用於醫療 院所。
圖一、BS 7799 與醫院資訊安全管理作業文件之關 係圖
然而如圖一顯示,整個 BS 7799 中有 35 項是醫療 院所完全未提及的部份,但是這 35 項對於醫療院 所並非都不需要,我們在這部份仍列出有 17 項是 與醫療院所不相關的部份。在 c 的部份是在檢測醫 療院所資訊安全相關文件時,將醫療院所重視的病 患隱私保密依照 BS 7799 的格式訂第了四項目標 及 13 項控制項目。這四項目標如下:
目標一:病歷保護規定,維護病患的隱私不被侵 害。
目標二:病患的資訊安全權利,聲明並保護病患在
BS
國內與推薦醫療院所資 訊安全管理 a 作業文件
35項
b 92項
c 病患 隱私 保密 13項
42 醫院就醫的權利。
目標三:醫院以外使用病患資料,醫院以外的組織 或單位要求取得病患資料時,應該要求遵守醫院相 關之規定。
目標四:病歷記錄的儲存,確保病患病歷儲存的安 全性。
了解了目前醫療院所資訊安全現況與 BS 7799 的 適用性,以及病患隱私保護的需要,接著的問題就 是如何逐步的從現況進步到理想的資安管理狀 態。本研究提出了目前最優先要實施的控制項目,
以 BS7799 為基礎的核心版以及綜合版。其中最優 先的控制項目是目前的當務之急的精簡版,作為短 期發展目標用,而核心版可以作為中期發展的目 標,至於綜合版是醫療院所資安管理的長程目標。
以下分別說這三個版本的選取方式,以及各有幾 項。
精簡版共有 23 項,是根據 BS 7799 的 10 個管理要 項,由國內與推廌醫院之資安文件的觀察來選取 的。核心版共有 57 項,內容包含了精簡版,並以 推薦醫院符合 BS 7799 之 74 項控制措施為基礎,
選取 3 家以上醫院提到的項目,另外加入 13 項病 患隱私保密。綜合版共有 123 項,為做為醫療院所 長期之資訊安全目標,將整個 BS 7799 的 127 項控 制措施加上病患隱私保密 13 項後,再減去本研究 探討與醫療院所不相關的 17 項所得的。
因為精簡版是目前醫療院所在執行資訊安全上首 要執行的項目,所以我們就將選取的 23 項控制措 施,依照 BS 7799 PartII 之編號依序列出並加以說 明。
4.1.1.1 資訊安全政策文件:資訊安全政策文件可以 提供一個執行安全的方向,也有個資訊安全依循的 軌跡。
4.1.1.2 檢討與評估:安全政策制定好可不是就用個 十年二十年,仍要每年定期評估檢討一下,是不是 有社會環境改變或法規改變,因而做的調整。
4.2.1.2 資訊安全協調:我們並非一定需要一個專屬 的資訊安全組織單位,但資訊安全的執行是要由組 織上上下下的配合才能完成,因此至少要有高階主
管的支持(如:院長、副院長),同時幾個重要單 位主管的配合協調,才能使資訊安全上行下效。
4.2.1.3 資訊安全責任的歸屬:是避免在資訊安全事 件後,各推卸責任,那資訊安全問題到最後也會不 了了之。
4.3.1.1 資產清單:我們總要知道要保護什麼,所以
4.3.1.1 資產清單:我們總要知道要保護什麼,所以