延續先前介紹ISO 27799:2016之資安控制措施在實務方面做法的系列文章,本期將接著介紹第九章的存取控制、第十一章的實體和環境安全,以及第十二章的運作安全等內容。
此外,一些公共區域像是電梯和洗手間,也可以透過張貼公告或海報方式,提醒相關人員勿在公共空間討論有關病患的病情或個人隱私。
11.2.1 設備安置及保護
這項控制措施是要求對於資訊處理相關設備,應適當地進行安置、保護、監控,以降低環境威脅所造成的損害,或是受到未經授權的存取。由於某些健康醫療相關設備可能會以電磁方式傳輸數據或運作,因此在健康醫療處所的環境之中,也要考量電磁相互干擾的可能性,以及對於設備可能的危害。
 |
| ▲醫護人員所使用的設備需要授權及存取防護。 |
至於接下來的「11.2.2 支援之公用服務事業」、「11.2.3 佈纜安全」以及「11.2.4 設備維護」,也只要依照ISO/IEC 27002的做法來實施管控,在ISO 27799:2016並沒有再加上額外的控制實施指引。
11.2.5 資產之攜出
這項控制措施是要求所有的資訊設備、軟體,相關物品的攜出和攜入都需要事先授權,所以組織需要把相關的規則訂立清楚,並留下過程的作業記錄。
換句話說,組織對於含有個人健康醫療資訊的資訊設備,如果需要離開其原本所在的地點或搬移至其他的處所,都必須先界定在什麼時候需要授權,以及如何進行授權和記錄。
11.2.6 場所外設備及資產的安全
這項控制措施除了可參照ISO/IEC 27002的做法,還需要針對在醫療處所以外的地點,像是救護車或遠端的醫療工作站,控管由這些醫護專業人員所使用的設備,如果其中會包含病患的個人資料,除了使用前要經過事先授權之外,也需要確保其受到適當的看管,以避免設備受到損害、竊聽和遺失等等風險。
11.2.7 設備汰除或再使用之保全
這項控制措施的要求,除了參考ISO/IEC 27002的做法外,特別要注意的是針對曾經存有個人健康醫療資訊的儲存媒體,一旦不需要使用或是需要汰除時,務必要使用安全的資料抹除機制,或是徹底破壞儲存媒體,以避免資料可能外洩的風險。至於接下來的「11.2.8 無人看管之使用者設備」和「11.2.9 桌面淨空」,則沒有額外的管控指引,只要依照ISO/IEC 27002的做法來實施管控即可。
處理健康醫療資訊的運作安全
在ISO 27799:2016第十二章的運作安全中,主要包括「運作程序及責任」、「防範惡意軟體」、「備份」、「存錄和監視」、「運作中軟體之控制」、「技術脆弱性管理」以及「資訊系統稽核考量」的控制措施,目標是要確保資訊處理的相關設備能夠安全穩定地運作,避免受到惡意軟體的影響,同時也要保護資料不會遺失。
此外,在資訊處理和運作的過程中,還需要留下適當的記錄,就算要進行設備檢查和稽核,也要盡可能降低對系統造成的影響,以下說明各項控制措施的實施要點。
12.1.2 變更管理
由於「12.1.1 文件化運作程序」只要依照ISO/IEC 27002的做法來實施管控即可,所以接下來說明變更管理的要求,目前在健康醫療組織中,有愈來愈多的資訊系統彼此會相互連結,若對於系統的組態進行了更動,往往會牽一髮而動全身,因此本項控制措施的目的,就是要確保和資訊處理設施及健康醫療系統有關的變更事項,都能夠受到妥善的管理控制。實務方面可以透過變更過程中的完整記錄,以及事先備妥萬一變更失敗時可以復原的方法,降低可能會危害病患生命安全的風險。
 |
| ▲醫療設備所顯示的病患資訊必須嚴防任意洩漏。 |
12.1.4 開發、測試及運作環境之區隔
由於「12.1.3 容量管理」只要依照ISO/IEC 27002的做法來實施管控即可,所以接下來直接說明本項的控制措施要求。對於健康醫療組織而言,除了使用套裝軟體或作業系統之外,可能也有許多內部自行開發的應用程式,因此從一開始的規劃、測試到上線,都要考量到其中的資安風險,並納入必要的管控機制。所以這項控制措施是要求針對個人健康醫療資訊的處理,在開發、測試和運作過程所使用的資訊設施,應採取實體或虛擬的分隔,以避免因設備的誤用或資訊的不當修改,而產生不必要的運作影響。
12.2.1 防範惡意軟體之控制措施
對於惡意軟體的防治,實務上最容易的做法,就是在作業系統上安裝防毒軟體,並定期更新病毒碼,以確保防毒軟體能夠有效運作。對於這項控制措施,除了可依照ISO/IEC 27002的做法外,也需要特別針對健康醫療相關的人員,給予防範惡意軟體的認知訓練,以降低在使用資訊系統和設備時,不小心感染惡意病毒的風險。
12.3.1 資訊備份
對於資訊備份的實務做法,除了可以針對資料本身不同的屬性,定義出不同的備份方式,例如完整備份、增量備份、差異備份等,也需要考量備份的頻率,像是每年、每月、每週、每日備份等,確保重要資料擁有多重的防護。以健康醫療資訊來說,除了適當地進行備份作業,並且將備份媒體存放在安全的地點之外,為了確保資訊本身的機密性,還要採取足夠強度的加密機制,以保障敏感的個人資訊安全。
(未完待續)
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>