由ISO 27799:2016所提供的資安管控機制,基本上參照了ISO/IEC 27002的標準內容,先前的文章已經說明如何清查和醫療資訊有關的各項資產,建立完整的資產清冊並識別可接受使用的方式,以及在使用系統時的資訊存取控制要求,並解析其資安控制措施在實務方面的做法,本文將是此醫療法規系列的最後一篇。
14.1.1.1 受照護患者的唯一識別
針對處理健康醫療資訊的系統,應確認系統中的患者都具有唯一的識別碼,如果在實施緊急醫療的過程中,可能會產生重複或多筆不同的記錄,也必須要確保這些記錄可以被整合至同一位的患者。
14.1.1.2 輸出資料的驗證
針對處理健康醫療資訊的系統,應確保透過電子方式輸出的記錄,必須和先前已經實施的醫療照顧行為的患者一致,在某些醫療資訊系統的做法,可能會在相關記錄上加入患者的照片作為辨識的方式,但同時也要注意照片中可能呈現的臉部特徵或種族會不會意外揭露了過多患者的隱私。
14.1.2 保全公眾網路的應用服務
這項控制措施除了可比照ISO/IEC 27002的做法,也要求若個人健康醫療資訊有可能在線上的服務過程中呈現,像是醫療費用的帳單、收據、發票及相關證明等,就需要特別注意這些資訊的保護,以避免不必要的過度揭露。
14.1.3.1 公眾可取得的健康資訊
在「14.1.3 保護應用服務交易」控制措施,本身可直接參照ISO/IEC 27002的做法,但是在這裡卻特別延伸並新增了一個控制措施,它是要求對有別於特定個人的健康資訊,若公開提供讓民眾可獲得,那麼針對資訊本身的完整性,必須確保不會受到未經授權的修改,同時資訊的來源也要能夠被有效地鑑別,以降低被偽冒濫用的風險。
至於接下來的「14.2.1 保全開發政策」、「14.2.2 系統變更控制程序」、「14.2.3 運作平台變更後應用之技術審查」、「14.2.4 軟體套件變更之限制」、「14.2.5 安全系統工程原則」、「14.2.6 安全開發環境」、「14.2.7 委外開發」、「14.2.8 系統安全測試」等,都只須依照ISO/IEC 27002的做法即可。
14.2.9 系統驗收測試
這項控制措施是要求處理健康醫療資訊有關的資訊系統,應該建立可被驗收的準則,包括了新規劃建置、功能模組擴充及版本更新的系統,在系統驗收上線之前,都應接受適當的功能測試和驗證。必要時,臨床的使用者可能也需要參與測試和臨床醫療有關的功能。至於接下來的「14.3.1 保護測試資料」,可依照ISO/IEC 27002的做法來管控,避免使用真實的個人健康醫療資訊來進行測試。
 |
| ▲每位患者都需要唯一的身分識別碼以追蹤其醫療資訊。 |
控管健康醫療資訊的供應商
在ISO 27799:2016第十五章的供應者關係中,主要包括「供應者關係中之資訊安全」和「供應者服務交付管理」相關的控制措施,目標是要確保對供應者可存取的組織資訊資產實施了適當保護,並維持資訊安全的要求與供應者議定的服務交付水準一致,以下說明控制措施的實施要點。
15.1.1 供應者關係之資訊安全政策
這項控制措施的要求是針對外部的供應者,需要事先進行風險評估,以決定需要實施的資安管控做法,尤其是針對可能存取健康醫療資訊的第三方廠商,需要在提供服務的過程中,實施適當的監督管理來保護個資當事人的權益。至於「15.1.2 於供應者協議中闡明安全性」、「15.1.3 資訊及通訊技術供應鏈」、「15.2.1 供應者服務之監視及審查」、「15.2.2 管理供應者服務之變更」,可直接參照ISO/IEC 27002的做法。
至於在ISO 27799:2016第十六章的資訊安全事故管理中,主要包括「資訊安全事故及改善之處理」共7項控制措施,目標是要確保對資訊安全事故之管理,已採取了一致且有效的做法,同時也要求對資安事件和弱點的傳達方式。由於「16.1.1 責任及程序」只須依照ISO/IEC 27002的做法來實施管控即可,以下說明後續控制措施的實施要點。
16.1.2 通報資訊安全事件
對於資安事件,除了事先建立相關人員的職責分配和作業程序,還必須確保事件通報的及時性,這部分可以結合組織現有的危機處理或營運持續計畫,同時也要蒐集事件相關的日誌和證據。至於「16.1.3 通報資訊安全弱點」、「16.1.4 對資訊安全事件之評鑑及決策」、「16.1.5 對資訊安全事故之回應」、「16.1.6 由資訊安全事故中學習」、「16.1.7 證據之蒐集」等控制措施,可直接參照ISO/IEC 27002的實務指引。
確保資安的營運持續和法規遵循
在ISO 27799:2016第十七章的營運持續管理之資訊安全層面中,主要包括「資訊安全持續」和「多重備援」共4項控制措施,目標是要確保將資訊安全持續的要求,融入組織的營運持續管理系統之中,以下說明各項控制措施的實施要點。
17.1.1 規劃資訊安全持續
建立營運持續計畫是最基礎的一環,但對資安人員最大的挑戰,在於可能影響醫療資訊系統的因素太多了,除了最常見的停電停水,可能也包括像是SARS疫情的爆發,導致醫護人員的短缺而造成業務無法持續運作。尤其是在危機發生時,如何確保患者資訊能夠持續且正確地提供,並且還要在急難的情況下,保護患者資料和個人隱私,這些都有賴事先對於不同情境建立對應的計畫,配合持續不斷的演練與調整,才能達到預期的功效。
接下來的「17.1.2 實作資訊安全持續」,它是要求在重大災難發生時,備有完整的復原程序,讓醫療資訊系統得以快速的回復,至於「17.1.3 查證、審查並評估資訊安全持續」、「17.2.1 資訊處理設施之可用性」的控制措施,則可參照ISO/IEC 27002的做法來實施。
在ISO 27799:2016第十八章的遵循性中,主要包括「對法律及契約要求事項之遵循」和「資訊安全審查」共8項控制措施,目標是要避免違反有關資訊安全法律和法規,以及任何的安全要求事項,並且依據組織的政策和程序要求,實施且運作資訊安全,以下說明控制措施的實施要點。
18.1.1 適用之法規及契約的要求事項之識別
對健康醫療組織而言,建立完整的稽核方案並定期實施稽核,已是必要的做法,針對資訊安全的體系和相關的控制措施,基本上每12個月就要進行一次完整的查核,以確保滿足相關法規和合約的資安要求。而「18.1.4 隱私及個人可識別資訊之保護」則是要求當個人健康醫療資訊可能以電子郵件、傳真、電話或其他方式揭露給外部組織時,都必須事先取得當事人同意,並且保留同意的記錄。後續的「18.1.2 智慧財產權」、「18.1.3 記錄之保護」、「18.1.5 密碼式控制措施之監管」、「18.2.1 資訊安全之獨立審查」、「18.2.2 安全政策及標準之遵循性」、「18.2.3 技術遵循性審查」等控制措施,只要參照ISO/IEC 27002的實務指引即可。
結語
以上是ISO 27799:2016的醫療資訊安全控制措施的重點解析說明,對醫療機構來說,保護患者的個人資料和隱私已是必要的義務和責任,如果組織對於健康醫療資訊的管理體系和資安需要更進一步的實務指引,參照ISO 27799:2016標準的內容且加以實施,就能夠成為強化組織醫療資安的重要基礎。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>