最近更新文章
2017/10/20
職場監視尺度須拿捏 兼顧資安保護及員工隱私
2017/10/20
AI/運算/感測相繼成熟 自駕車隨技術水到渠成
2017/10/19
樺賦科技全新 N2350 和 N4350 儲存伺服器
2017/10/19
雲服務接地氣 電信級標籤防偽
2017/10/19
微服務容器不是易開罐
2017/10/18
記錄檔案伺服器存取軌跡 免費達成稽核調閱要求
2017/10/17
希捷推出高容量 12TB NAS 硬碟
2017/10/17
網路櫃攸關機房運作 細節著手管理更可靠
2017/10/17
解危IoT威脅 資安委外滅火
2017/10/16
大世科成立全台首座企業級資安實戰演練中心
2017/10/16
合勤科技 2017 BBWF 首次亮相最新 WiFi Mesh 解決方案
2017/10/16
緊盯資安最脆弱環節 專家解析主機異常活動
2017/10/16
正確撰寫Dockerfile 製作最好用容器映像檔
2017/10/15
Hitachi Vantara 全新商用 Lumada 軟體堆疊, 強化工業物聯網平台市場
2017/10/14
恩智浦運用 Google Cloud IoT Core 促進智慧裝置的邊緣運算
2017/10/14
達友科技獨家代理資安品牌 OPSWAT 抵抗惡意攻擊
2017/10/13
NEC 研發出世界首創的聲音AR技術
2017/10/13
Nutanix 發表最新的企業雲平台 採用單一OS混合雲
2017/10/13
統轄大型複雜虛擬化環境 vROps監控管理有效率
2017/10/13
電商連資安險都拒保 專業防護贏回競爭力
2017/10/12
Openfind Mail2000 協助企業輕鬆做好資安防護
2017/10/12
NETSCOUT 推出 AIRCHECK G2 全新功能
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/9/28

參照實施ISO 27799標準 強化醫療資訊安全控制(一)

醫療業資安管控第一步 從政策、組織、人員開始

花俊傑
上篇文章介紹了適用於醫療產業的資安國際標準ISO 27799:2016,提到組織可藉由鑑別所需保護的醫療資訊內容,評估可能存在的威脅與弱點,並且選擇所需的資安控管機制,持續來強化醫療資訊的管理,接下來的文章將解說各項控制領域中,特別針對醫療資訊所需要實施的控制措施。
由ISO 27799:2016所提供的資安管控機制,基本上是參照了ISO/IEC 27002的標準內容,同樣包括了資訊安全政策、資訊安全組織、人力資源安全、資產管理、存取控制、密碼學、實體與環境安全、運作安全、通訊安全、系統獲取開發及維護、供應者關係、資訊安全事故管理、營運持續管理之資訊安全層面、遵循性等14項控制領域、35個控制類型和114個控制措施。

在這14項控制領域中,ISO 27799:2016會針對每個控制措施說明健康醫療資訊的控制目標和實作指引,幫助組織選擇適用的管控機制,有效因應所面對的資訊安全風險,以下就一一解說每個控制措施在實務上可行的做法。

從政策和組織面開始強化管理

在ISO 27799:2016的第一到第四章,主要是針對標準的介紹和使用名詞的解釋,從第五章開始才是有關控制領域的內容。在第五章資訊安全政策中,包含了「資訊安全之管理指導方針」這個控制類型和兩個控制措施,其目標是要依據營運要求和相關法律法規,提供資訊安全的管理指導方針和支持。以下是針對本章兩個控制措施的說明。

5.1.1 資訊安全政策

這個控制措施是要求處理個人健康醫療資訊的組織,需要建立文件化的資訊安全政策,在經過管理階層核准之後,正式發行並公佈給所有員工和相關的外部關注方。實務上在政策方面需要注意的,包括是否說明組織的醫療資訊安全需求和目標、適用的法令法規和合約要求,以及識別和健康照護有關的重要流程和系統;同時還需要考量個人可主張的權利、醫療專業人員的道德責任,以及病患的隱私與可存取個人資訊的權利等,也要說明醫療專業人員對於取得病患的同意和維護個人醫療資訊的保密義務。

5.1.2 資訊安全政策之審查

這個控制措施要求健康醫療組織的資訊安全政策,至少要每年進行一次內容的更新審查,尤其是在發生重大安全事故之後,更需要重新進行審查。實務方面,在審查時需要注意健康醫療組織的環境和營運情況是否改變,並考量IT相關的基礎設施是否有異動,以及外在環境像是法律條款和技術的改變是否會對組織產生新的衝擊,這些也是會影響組織對風險管理的考量要素。

在第六章資訊安全組織中,包含了「內部組織」和「行動裝置與遠距工作」兩個控制類型,以及七個控制措施,目標是要建立管理的框架,在組織內啟動資安機制和控制措施的實作,並且確保遠距工作和行動裝置的使用安全。以下說明各項控制措施的實務要點。

6.1.1 資訊安全之角色和責任

這個控制措施是要求組織在處理個人健康醫療資訊時,應清楚地定義和指派資訊安全責任,並成立資訊安全管理論壇(Information Security Management Forum,ISMF)來確保組織有清楚可見的管理階層,透過定期召開會議來支持和健康醫療資訊安全有關的各項活動。同時,組織須至少指派一位獨立的人員來負責有關健康醫療資訊的安全。

6.1.2 職務區隔

這個控制措施是要求組織在處理個人健康醫療資訊時,應區隔可能衝突之職務和責任範圍,以降低可能會有未經授權的修改或誤用個人健康醫療資訊的機會。在實務方面,有些小型的組織可能會受限於人力,難以去區隔衝突的職務,但實務上還是需要考量像是活動監視、存取記錄和主管監督等補償性的控制措施來降低風險。

6.1.3 與權責機關之聯繫

這項控制措施的要求,完全比照ISO/IEC 27002的做法,因為當發生資安事件時,組織往往也需要外部單位的協助,因此必須事先擬定適當的程序,說明何種事件該由何人進行通報和聯繫,以及需要聯繫的權責機關包括哪些?舉例來說,在發生網路攻擊事件時,組織需要清楚定義由誰負責與電信和執法等單位進行聯繫。

6.1.4 與特殊關注方之聯繫

這項控制措施的要求也是完全比照ISO/IEC 27002的做法,由於資訊科技的技術發展日新月異,所以組織也經常需要聽取專家的意見,或參加專業的論壇以取得更新的資訊。此一控制措施就是要求組織應與各種和健康醫療資訊有關的團體、專家協會等保持適當的聯繫管道。

6.1.5 專案管理之資訊安全

這項控制措施是針對醫療健康有關的專案管理,必須考量是否會涉及病患的安全,範圍包括任何有關處理個人健康資訊的專案,在早期的階段和過程中,都需要進行資安風險評鑑,只要是有關病患安全的風險,就必須謹慎地分析和準確的處理。

6.2.1 行動裝置政策

這項控制措施是要求組織在處理個人健康醫療資訊的過程中,應評估與健康醫療有關的行動運算的風險,並且制訂使用行動裝置的相關政策,包括需要說明在組織中使用個人私有行動裝置的指引和限制,以及部署符合隱私法規要求的管控做法,同時要求使用者務必要遵守才行。

6.2.2 遠距工作

這項控制措施是要求組織在處理個人健康醫療資訊的過程中,需要針對遠距工作建立所需的政策和措施,以確保在存取、處理或儲存於遠距工作場所的健康醫療資訊安全。另外,有些國家像是德國有限制醫療專業工作者的遠距工作方式,所以若是屬於跨國的醫療團隊,還必須要注意是否有所在地國家的相關法令法規,了解對於遠距處理或傳輸健康醫療資訊的限制。

人員管控是資安的重要一環

在第七章的人力資源安全中,包含了「聘用前」、「聘用期間」和「聘用之終止和變更」等三個控制類型,以及六個控制措施,目標是要在聘用前確保員工和約聘人員了解其資安角色和責任,於任職期間能認知並履行其安全責任,並且將確保組織的利益納入在聘用變更或終止過程中,以下說明各項控制措施的實施要點。

7.1.1 篩選

這項控制措施是要求所有的成員、承包商、志願工作者在處理個人健康醫療資訊的過程中,組織在雇用之前需要確認其身分合法性,同時進行相關的背景調查。除了正職人員之外,也應該涵蓋臨時或短期的工作人員,像是代班醫生、學生、實習生等。至於醫療專業人員像是心理治療師和護士等其資格佐證,也應交由適當的專業醫療機構加以確認。

7.1.2 聘用條款及條件

這項控制措施是要求涉及處理個人健康醫療資訊的組織人員,應以文件化方式來清楚定義其安全角色與責任,像是簽訂工作契約,並且在契約中說明陳述組織的資安政策要求,並且讓員工和雇用人員同意其資訊安全條款和條件,釐清雙方對於資訊安全的責任。

7.2.1 管理階層責任

這項控制措施的要求是比照ISO/IEC 27002的做法,管理階層應要求所有員工和約聘人員,依照組織政策和程序要求配合實施資安事項,此外還需要重視的地方,包括像是病患可能不希望相關的健康醫療工作者是其鄰居、同事或親戚,並且有權可存取其個人健康醫療資訊。換句話說,可能也有健康醫療組織的成員,不希望去存取或審查其朋友、親戚或鄰居的健康醫療資訊,因此,有效的健康醫療資訊管理系統需要處理並考量這些議題。

7.2.2 資訊安全認知、教育及訓練

這項控制措施是要求處理個人健康醫療資訊的組織,必須確保在人員到職時即提供適當的資安教育訓練,並且定期地對所有員工宣導更新組織的資安政策和程序。這部份的更新也涵蓋了可能會處理個人健康醫療資訊的第三方承包商、研究人員、學生及志工等。此外,也必須讓全體人員了解違反資安規定時的懲處過程和後果。

7.2.3 懲處過程

這項控制措施的重點在於組織是否正式公佈懲處的流程,是否會以正確、公平的方式收集客觀的證據,以證明員工違反安全規範。這項控制措施的要求除了比照以上ISO/IEC 27002的做法外,也要求健康醫療組織對於違反資訊安全的懲處過程必須與資安政策一致,並且以公平合理的方式,讓違反資安規範的員工得到正確的處置。特別要注意的是,在整個過程中也要遵循適用的法令法規,並依照兩方工作契約內容的要求來進行。

7.3.1 聘用責任之終止或變更

這項控制措施的要求,除了比照ISO/IEC 27002的做法,針對員工與聘用人員定義、傳達在聘用終止或變更後,其資訊安全責任和義務仍是有效的之外,特別要注意的是在健康醫療組織中,有許多的成員像是醫生和護士,通常會進行職務的輪調,因此要確保在其職務角色異動之後,先前所擁有的權限是否也進行調整,並且在人員正式離開組織之後,其帳號和權限也需要依照聘用終止流程來處理。(未完待續)

<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>

這篇文章讓你覺得滿意不滿意
送出
相關文章
影像監控系統 資安產業標準年底問世
物聯網帶動醫療照護升級 六大原則守護網路安全
互通性釋放資料價值 自動化照護展望光明未來
醫療產業網路攻擊激增 循國際標準管控資安風險
高璐華接任台灣IBM公司總經理
留言
顯示暱稱:
留言內容:
送出