智慧應用 影音
中華電信股份有限公司國際電信分公司
20211014_DForum智慧車與車聯網論壇

【黃冠凱專欄】醫院資安由小見大 人員科技經費缺一不可

醫院資訊安全價值與意義在於建立病患安全就醫環境。Pexels

電子科技協助醫療人員工作更加效率化,不同部門、合作醫院、跨縣市之間的健康醫療數據,都能夠快速傳輸而增加服務效率,以及減少病人重複檢查之苦,更在未來能發展AI服務,但數據的儲存與傳輸,總有不慎洩漏與遺失的風險,因此醫療產業對於資訊安全日漸重視。

本專欄將從資安對於醫療院所的意義,所需付出的成本,到落實資安需要哪些人員協同分析起,最後也從科技的輔助和流程的串接,與讀者分享其中或許能夠留心的地方,希望能夠提供更多產業良性循環,以及對於醫療資訊安全的重視及落實速度與廣度。

 點擊圖片放大觀看

落實資訊安全則需要以醫療副院長、資安長為核心,並且由資訊室、臨床醫護團隊、醫事人員與行政人員組成委員會進行推動。黃冠凱攝

確保醫院資安的價值與意義?

衛生福利部推動全台醫療院所,實施與導入電子病歷及互通、雲端藥歷、醫院評鑑條文,並且將資訊安全列入必要具備條件,這都是因為醫療單位會保存,從病患出生到死亡所有的門診、住院、急診與開刀紀錄等完整紀錄。

筆者認為,這些紀錄的重要性,就如同醫療器材使用與開發時所強調的安全性與有效性。為了確保醫院資訊安全,系統需要具有穩定性及安全性,並建立整體安全性環境,才可以降低人為因素與訓練所導致的隱形成本。此外,建立妥善的系統,也能讓醫院經營層、醫療人員、資訊人員,得以在資訊安全度夠高的環境中,執行工作與治療病患,更是能夠減少因人為因素、機器等問題,影響資料運作穩定性。

落實醫院資安需要哪些人員?

希望有效落實醫院資訊安全,筆者認為需要透過委員會模式,由醫療副院長或是資安長負責主導,並且由資訊室依照資訊安全管理系統(Information Security Management System;ISMS),進而架構、實施、維護,以及根據各時代個資法的要求,與時俱進地規劃與持續改善,最後則是由臨床醫護人員、行政單位、醫事單位進行盤點和設計制度、整合流程。讓資訊安全制度能符合現場單位實際需求,也讓醫院各處室人員對於資料保管更有概念,資料自然更加安全。


落實醫院資安需要哪些科技?

落實醫院資訊安全除了需要諸如「防毒科技」、「異地備份與備援」、「網路防護與記錄」與「伺服器警示通報」,但這些都屬於基礎建置環境。隨著網路與物聯網(IoT)時代的來臨,醫療儀器設備、影印機、門禁管理系統、電梯控制、緊急呼叫等設施都已經可以連網與互聯,也因此病患資料就會有外洩的風險問題,進一步涉及醫療服務核心、病人資料保存與安全等問題。

筆者認為,有鑒於此,就需要規劃網路設備連線網路區段、監控數據傳輸流量、後端設備防護、存放數據沙盒。藉由建立上述流程與建置科技設備,才能有效建構醫院防護網。

醫院資安需要多少經費、流程如何串接?

關於很多人關心的「醫療院所資訊安全整體經費規劃」,建議從個資法與ISO27001(Information Security Management System;ISMS)的架構要求著手。單位每年度都需要編列預算,執行「防毒」、「設備監控與汰換」、「備份與備援」等任務,並且有短、中、長期不同面向的規劃,經費也因機構大小不同,以及未來事業擴充性而有不同的規畫。

整個流程串接則需要以「人」為核心,透過「病患」、「臨床醫護人員」、「行政人員」與「醫事人員」的角度,開始檢視流程與盤點。藉由整個「病患」門診、急診、住院、開刀流程,所有醫院同仁可以理解操作流程,進行整個「作業面」、「流程面」與「安全面」的探討。最終能將相關問題,以及與安全有疑慮的地方進行細部討論與改善,讓整個資訊安全能有效進行串接,並且符合安全與制度建立與落實。

以現況觀之,目前台灣醫療院所對於醫院資安概念與服務的導入部分,領先做法都是設置專職資安長,由資安長負責規劃整個體系的資訊安全設備、技術、流程制度設置,並且編列短中長期預算進行設備汰換,以及和外部產業進行合作建構資訊安全網路防護。健康醫療照護資訊安全由小見大,從平日的防護與基本功做起,相信各醫療生態成員在邁向醫療人工智慧(AI),以及數位大健康之路時,將能走得又長又穩。

(本專欄由黃冠凱DIGITIMES電子時報智慧醫療主編蔡騰輝共同完成)

延伸閱讀:【黃冠凱專欄】三大步驟將設計思考帶入醫院創新

黃冠凱

現職:衛生福利部彰化醫院醫務行政室主任
簡介:醫療體系服務十多年以上,負責過領域有醫院企劃、品管、資訊、健保與電子病歷等領域,發表多篇醫療品質與醫療資訊相關領域學術文章與期刊。

作者更多專欄

  •     按讚加入DIGITIMES智慧醫療粉絲團
更多關鍵字報導: 智慧醫療 資安