確保實體設施環境安全　妥善管控醫療資訊存取

強化使用者和系統存取控制

在ISO 27799:2016第九章的存取控制中，針對有關「使用者責任」和「系統及應用存取控制」的控制措施，分別說明如下。

9.3.1 秘密鑑別資訊之使用 這項控制措施除了可比照ISO/IEC 27002的做法外，也要求使用者一旦獲得其被授權使用的醫療系統帳號密碼或醫事人員憑證，在使用方面就需要按照組織的安全規定，像是選用一定長度以上、大小寫數字混合的嚴謹密碼及強制定期變更等，最重要的是使用者也必須盡到保管密碼和憑證的責任。

另外，當決定要授與醫療相關人員的使用權限時，需考量在法令上的要求並經過醫療組織的同意，以確認給予使用者的權限符合其實際工作上的需要。

9.4.1 資訊存取控制

這個控制措施是要求組織必須依據內部的存取控制政策，適當地限制對於資訊和應用系統的存取，對於處理個人資料的健康醫療資訊系統，應採取雙因素以上的身分驗證機制，同時相關的資訊處理設備，也要透過網段或實體隔離方式與一般的資訊設備加以區隔，以降低錯誤存取的風險。

而接下來的「9.4.2 保全登入程序」、「9.4.3 通行碼管理系統」、「9.4.4 具特殊權限公用程式的使用」及「9.4.5 對程式源碼之存取控制」，基本上只要依照ISO/IEC 27002的做法來實施管控即可，在ISO 27799:2016並沒有再加上額外的控制實施指引。

▲醫療資訊設備的使用，必須考量可能的電磁干擾。

至於在第十章的密碼學中，主要有「10.1.1 使用密碼式控制措施之政策」和「10.1.2 金鑰管理」兩個控制措施，它要求組織需要發展和制訂有關保護資訊的加密控制措施的政策，以及保護密碼金鑰和憑證的使用，這部分除了可參照ISO/IEC 27002之外，還可以再參考另一個有關健康醫療資訊的公開金鑰基礎設施國際標準ISO 17090-3。

確保實體設施和環境的安全

在ISO 27799:2016第十一章的實體和環境安全中，主要說明有關「保全區域」和「設備」等15個的控制措施，目標是要防止組織的資訊和資訊處理設施，受到未經授權的存取和干擾侵害，並且還要防止醫療相關的資產遭受遺失、損壞、遭竊或破解，而造成組織的業務營運中斷。以下就來詳細地說明各項控制措施的實施要點：

11.1.1 實體安全周界

所謂的實體安全邊界是指藉由圍牆、大門或相關標示的方式，來保護區域內資訊與資訊處理設備的安全，因此控管的重點在於如何讓人可以清楚分辨安全區域與公共區域。對健康醫療處所而言，大部分的區域可能都允許病患可以出入，而且也有可能會讓病患單獨處於一個具有資訊設備的房間，因此往往也需要多加考量如何在兼顧病患的隱私和設備安全的情況下，採取適當的管控做法。

11.1.2 實體進入控制措施

這項控制措施的實施可比照ISO/IEC 27002的做法，對於安全區域中的所有入口都應設有適當的管制點，確保只有經過授權的人員才可允許進入。需要注意的是，有些用來處理健康醫療資訊的主機、儲存設備、終端機和顯示器等，也要盡量讓它們遠離公共區域，採取上鎖或登入存取控制。

至於接下來的「11.1.3 保全之辦公室」、「11.1.4 防範外部及環境威脅」及「11.1.5 於保全區域內工作」三項控制措施，基本上只要依照ISO/IEC 27002的做法來管控即可，並沒有再加上額外的控制實施指引說明。

11.1.6 交付及裝卸區

這項控制措施是針對交付和裝卸區及其他可能有未經授權人員可進入的作業場所，需要實施作業隔離和進出的管控，對健康醫療處所而言，包括像急診室和問診區，除了病患之外可能也會包括其家屬和陪同人員，都有機會透過口頭得知或看見醫療設備所顯示的病患資訊，因此醫護人員對陪同人員也需要給予適當的身分確認。