【BN promotion】秀傳醫療體系翔生資訊總經理羅政勤~導入行動與雲端應用 縮短醫病距離

傳著行動裝置愈來愈普及，愈來愈多醫院導入ipad行動巡房，秀傳醫療體系可說是國內導入行動巡房應用的先驅，從2010年起由旗下的資訊單位成立翔生資訊及國際厚生兩家醫療SI廠商，開發Web版行動巡房系統，讓主治醫師在巡視住院病患時，可以不再攜帶厚重的病歷，透過無線網路就能將病歷資料傳到iPhone或iPad上，即時接收病人最新檢查報告與用藥紀錄，向病患解說病情，縮短醫病距離。

**導入資訊科技 首重保護病歷資料
**「導入行動巡房，最重要的必須先做好資安防護！」翔生資訊總經理羅政勤表示，由於行動裝置可以到處移動，因此保護行動巡房系統內的資料是最重要的議題。他觀察，這幾年的資安趨勢從防堵DOS、DDOS攻擊轉成APT，而駭客入侵不再是玩票性質的功力炫耀，而是有計畫地竊取企業機密與個資。加上近年來常有不肖人士專門收購病人個資，有時民眾白天到醫院就醫，晚上就接到騙集團電話，而向醫院投訴個資外洩，後來雖都確認並無個資外洩之實，但也顯示出醫療體系對於保護個資防止外洩的重要性。尤其隨著新版個資法規範的個資內容包含紙本資料與電子紀錄資料，因此如何保護病歷資料不外洩，變成更重要的課題。

(圖為翔生資訊總經理羅政勤)

羅政勤進一步解釋，為了因應資訊科技提升醫療服務以及保護個人病歷資料，秀傳醫療體系首先在2000年就自行開發秀傳醫療體系HIS系統，接著又將病程記錄資訊化，並在2009年導入電子病歷系統。他說，為了強化電子病歷實行的安全性，秀傳醫療體執行整個機房整建置案，整個機房整建耗資將近一千萬，建置一個完全符合ISO27001規範的標準機房，包括雙備援不斷電系統、自動化備份系統與異地備援系統等，並積極導入ISO27001資訊安全管理制度，並在2010年取得ISO27001：2005國際認證，成為全國第一家通過ISO國際標準的醫療體系。

除了硬體設施外，在電子病歷交換系統的執行面上，要求使用者必須採用ID/Password及數位憑證加PIN碼驗證才能登入電子病歷系統，並針對使用者採取各功能模組的權限控制。舉例來說，醫師當病歷資料完成時，必須以數位憑證進行簽章，除非取得安全技術權限的人員，一般醫護員工無法查閱病人資料，以防止其他人竄改電子病歷，確保資料的完整性。在資料傳輸的安全控管上，對於特定機密性、敏感性資料傳輸一律採加密通訊，甚至虛擬私有網路的方式進行，在資料庫端也採取透明加密，並對特定機密性、敏感性資料再進行加密。

**建置私有雲 強化認證與傳輸機制
**2010年秀傳醫療體系進一步導入行動電子病歷系統，用以協助行動巡房。羅政勤表示，為了導入行動巡房，秀傳進一步與委外業者建置雲端平台，透過雲端技術提高病歷傳輸的即時性，並導入私有雲技術以加強傳遞安全性。翔生資訊研發長賴昱中解釋，行動巡房系統資安防護上採取三道作法，在前端部分，當醫師或護理人員要使用，必須先下載App，並依其帳號權限管控使用範圍。當要使用行動系統登入時，必須通過如員工IC卡、具專利的手機,我們的帳密不是一次性,而好像是90天內強迫更換多重配套認證機制，才可以登入。在權限管控上，A醫師只能看到自己的病人，而不是所有的病歷資料都可以看到，但主任醫師可以看到自己下屬醫師的病歷，醫師若逾時20分鐘未使用行動巡房系統，系統就會自動斷線，以來避免行動裝置因遺失而洩漏病歷資料。

其次，則是建置雲端機房，包括雲端化電子病歷、護理資訊系統與臨床醫療資訊系統，打造全台灣第一朵專屬於醫療業私有雲環境，確保虛擬平台安全。第三，在雲端服務存取安全上，則採取多道式用戶認證、SAML單一簽入、加密連線與VPN連線安全等機制，任何傳輸資料都經過安全的加密與解密機制，以避免洩漏病人的個資。

**強化員工資安訓練 個資相關程式加入紀錄檔功能
** 「員工養成良好的電腦使用習慣，也是防止資料外洩以及降低APT的關鍵要素。」翔生資訊經理郭勝明表示，為預防員工成為駭客攻擊企業內部的跳板，導致個資外洩，因此制訂資安政策要求員工必須確實遵守，包括全院電腦除資訊管理單位外，不具管理者權限，無法自行安裝軟體，避免被植入惡意軟體。此外，醫院每年至少舉辦兩場全院性資安教育訓練，向同仁宣導避免開啟來路不明的郵件附件檔，以及安裝來路不明的軟體。在資安防護的系統上，除建立早期預警系統，監控可疑連線與異常流量、全院電腦每週定期掃毒、每半年伺服器弱點掃描外，並在個資相關程式加入紀錄檔(log)功能，以便留下個資流向的軌跡。郭勝明認為，唯有資安防護系統永遠保持在最新的狀態下，才可以大幅縮短應用程式毫無防備能力的空窗期。

「資安投資絕不能省！」翔生資訊執行長李志仁強調，秀傳醫院除持續更新防火牆與入侵偵測防禦等設備外，每年都邀請資安專家來演講，並不定時派員參加資安相關的研討會，帶回最新資安訊息與解決方案。最近秀傳正評估控管USB存取權限與安全防護機制，以及研究導入ISO29100、BS10012與隱私標章(P-MARK)等個資保護制度的可行性，打造個資防護的銅牆鐵壁，在安全的前提下，進而提升醫療品質與效率。

**◎專家觀點－趨勢科技
**針對企業行動裝置的導入與搭配雲端應用延生的資安與管理問題，趨勢科技認為應著重在三個重點上
1. 如何降低佈署成本與減少管理這些設備的複雜度?
2. 如何避免機密資料外洩，尤其是當移動設備遺失或是被竊?
3. 如何確保這些移動裝置設備狀態是安全? 讓企業資源可以分享給移動裝置?
所以選擇擁有端點安全管理單一平台、中央管控移動裝置設備安全政策制定後的輕易實施、多平台的支援、可以整合企業 Active Directory的行動資安解決方案，將可幫助企業簡化管理，提高導入行動化的整體效益。

延伸閱讀：想了解控管USB存取權限與安全防護機制