傳著行動裝置愈來愈普及,愈來愈多醫院導入ipad行動巡房,秀傳醫療體系可說是國內導入行動巡房應用的先驅,從2010年起由旗下的資訊單位成立翔生資訊及國際厚生兩家醫療SI廠商,開發Web版行動巡房系統,讓主治醫師在巡視住院病患時,可以不再攜帶厚重的病歷,透過無線網路就能將病歷資料傳到iPhone或iPad上,即時接收病人最新檢查報告與用藥紀錄,向病患解說病情,縮短醫病距離。
**導入資訊科技 首重保護病歷資料
**「導入行動巡房,最重要的必須先做好資安防護!」翔生資訊總經理羅政勤表示,由於行動裝置可以到處移動,因此保護行動巡房系統內的資料是最重要的議題。他觀察,這幾年的資安趨勢從防堵DOS、DDOS攻擊轉成APT,而駭客入侵不再是玩票性質的功力炫耀,而是有計畫地竊取企業機密與個資。加上近年來常有不肖人士專門收購病人個資,有時民眾白天到醫院就醫,晚上就接到騙集團電話,而向醫院投訴個資外洩,後來雖都確認並無個資外洩之實,但也顯示出醫療體系對於保護個資防止外洩的重要性。尤其隨著新版個資法規範的個資內容包含紙本資料與電子紀錄資料,因此如何保護病歷資料不外洩,變成更重要的課題。
(圖為翔生資訊總經理羅政勤)
羅政勤進一步解釋,為了因應資訊科技提升醫療服務以及保護個人病歷資料,秀傳醫療體系首先在2000年就自行開發秀傳醫療體系HIS系統,接著又將病程記錄資訊化,並在2009年導入電子病歷系統。他說,為了強化電子病歷實行的安全性,秀傳醫療體執行整個機房整建置案,整個機房整建耗資將近一千萬,建置一個完全符合ISO27001規範的標準機房,包括雙備援不斷電系統、自動化備份系統與異地備援系統等,並積極導入ISO27001資訊安全管理制度,並在2010年取得ISO27001:2005國際認證,成為全國第一家通過ISO國際標準的醫療體系。
除了硬體設施外,在電子病歷交換系統的執行面上,要求使用者必須採用ID/Password及數位憑證加PIN碼驗證才能登入電子病歷系統,並針對使用者採取各功能模組的權限控制。舉例來說,醫師當病歷資料完成時,必須以數位憑證進行簽章,除非取得安全技術權限的人員,一般醫護員工無法查閱病人資料,以防止其他人竄改電子病歷,確保資料的完整性。在資料傳輸的安全控管上,對於特定機密性、敏感性資料傳輸一律採加密通訊,甚至虛擬私有網路的方式進行,在資料庫端也採取透明加密,並對特定機密性、敏感性資料再進行加密。
**建置私有雲 強化認證與傳輸機制
**2010年秀傳醫療體系進一步導入行動電子病歷系統,用以協助行動巡房。羅政勤表示,為了導入行動巡房,秀傳進一步與委外業者建置雲端平台,透過雲端技術提高病歷傳輸的即時性,並導入私有雲技術以加強傳遞安全性。翔生資訊研發長賴昱中解釋,行動巡房系統資安防護上採取三道作法,在前端部分,當醫師或護理人員要使用,必須先下載App,並依其帳號權限管控使用範圍。當要使用行動系統登入時,必須通過如員工IC卡、具專利的手機,我們的帳密不是一次性,而好像是90天內強迫更換多重配套認證機制,才可以登入。在權限管控上,A醫師只能看到自己的病人,而不是所有的病歷資料都可以看到,但主任醫師可以看到自己下屬醫師的病歷,醫師若逾時20分鐘未使用行動巡房系統,系統就會自動斷線,以來避免行動裝置因遺失而洩漏病歷資料。
其次,則是建置雲端機房,包括雲端化電子病歷、護理資訊系統與臨床醫療資訊系統,打造全台灣第一朵專屬於醫療業私有雲環境,確保虛擬平台安全。第三,在雲端服務存取安全上,則採取多道式用戶認證、SAML單一簽入、加密連線與VPN連線安全等機制,任何傳輸資料都經過安全的加密與解密機制,以避免洩漏病人的個資。
**強化員工資安訓練 個資相關程式加入紀錄檔功能
** 「員工養成良好的電腦使用習慣,也是防止資料外洩以及降低APT的關鍵要素。」翔生資訊經理郭勝明表示,為預防員工成為駭客攻擊企業內部的跳板,導致個資外洩,因此制訂資安政策要求員工必須確實遵守,包括全院電腦除資訊管理單位外,不具管理者權限,無法自行安裝軟體,避免被植入惡意軟體。此外,醫院每年至少舉辦兩場全院性資安教育訓練,向同仁宣導避免開啟來路不明的郵件附件檔,以及安裝來路不明的軟體。在資安防護的系統上,除建立早期預警系統,監控可疑連線與異常流量、全院電腦每週定期掃毒、每半年伺服器弱點掃描外,並在個資相關程式加入紀錄檔(log)功能,以便留下個資流向的軌跡。郭勝明認為,唯有資安防護系統永遠保持在最新的狀態下,才可以大幅縮短應用程式毫無防備能力的空窗期。
「資安投資絕不能省!」翔生資訊執行長李志仁強調,秀傳醫院除持續更新防火牆與入侵偵測防禦等設備外,每年都邀請資安專家來演講,並不定時派員參加資安相關的研討會,帶回最新資安訊息與解決方案。最近秀傳正評估控管USB存取權限與安全防護機制,以及研究導入ISO29100、BS10012與隱私標章(P-MARK)等個資保護制度的可行性,打造個資防護的銅牆鐵壁,在安全的前提下,進而提升醫療品質與效率。
**◎專家觀點-趨勢科技
**針對企業行動裝置的導入與搭配雲端應用延生的資安與管理問題,趨勢科技認為應著重在三個重點上
1. 如何降低佈署成本與減少管理這些設備的複雜度?
2. 如何避免機密資料外洩,尤其是當移動設備遺失或是被竊?
3. 如何確保這些移動裝置設備狀態是安全? 讓企業資源可以分享給移動裝置?
所以選擇擁有端點安全管理單一平台、中央管控移動裝置設備安全政策制定後的輕易實施、多平台的支援、可以整合企業 Active Directory的行動資安解決方案,將可幫助企業簡化管理,提高導入行動化的整體效益。
延伸閱讀:想了解控管USB存取權限與安全防護機制
