上篇文章介紹了適用於醫療產業的資安國際標準ISO 27799:2016,提到組織可藉由鑑別所需保護的醫療資訊內容,評估可能存在的威脅與弱點,並且選擇所需的資安控管機制,持續來強化醫療資訊的管理,接下來的文章將解說各項控制領域中,特別針對醫療資訊所需要實施的控制措施。
由ISO 27799:2016所提供的資安管控機制,基本上是參照了ISO/IEC 27002的標準內容,同樣包括了資訊安全政策、資訊安全組織、人力資源安全、資產管理、存取控制、密碼學、實體與環境安全、運作安全、通訊安全、系統獲取開發及維護、供應者關係、資訊安全事故管理、營運持續管理之資訊安全層面、遵循性等14項控制領域、35個控制類型和114個控制措施。
在這14項控制領域中,ISO 27799:2016會針對每個控制措施說明健康醫療資訊的控制目標和實作指引,幫助組織選擇適用的管控機制,有效因應所面對的資訊安全風險,以下就一一解說每個控制措施在實務上可行的做法。
從政策和組織面開始強化管理
在ISO 27799:2016的第一到第四章,主要是針對標準的介紹和使用名詞的解釋,從第五章開始才是有關控制領域的內容。在第五章資訊安全政策中,包含了「資訊安全之管理指導方針」這個控制類型和兩個控制措施,其目標是要依據營運要求和相關法律法規,提供資訊安全的管理指導方針和支持。以下是針對本章兩個控制措施的說明。
5.1.1 資訊安全政策
這個控制措施是要求處理個人健康醫療資訊的組織,需要建立文件化的資訊安全政策,在經過管理階層核准之後,正式發行並公佈給所有員工和相關的外部關注方。實務上在政策方面需要注意的,包括是否說明組織的醫療資訊安全需求和目標、適用的法令法規和合約要求,以及識別和健康照護有關的重要流程和系統;同時還需要考量個人可主張的權利、醫療專業人員的道德責任,以及病患的隱私與可存取個人資訊的權利等,也要說明醫療專業人員對於取得病患的同意和維護個人醫療資訊的保密義務。
5.1.2 資訊安全政策之審查
這個控制措施要求健康醫療組織的資訊安全政策,至少要每年進行一次內容的更新審查,尤其是在發生重大安全事故之後,更需要重新進行審查。實務方面,在審查時需要注意健康醫療組織的環境和營運情況是否改變,並考量IT相關的基礎設施是否有異動,以及外在環境像是法律條款和技術的改變是否會對組織產生新的衝擊,這些也是會影響組織對風險管理的考量要素。
在第六章資訊安全組織中,包含了「內部組織」和「行動裝置與遠距工作」兩個控制類型,以及七個控制措施,目標是要建立管理的框架,在組織內啟動資安機制和控制措施的實作,並且確保遠距工作和行動裝置的使用安全。以下說明各項控制措施的實務要點。
6.1.1 資訊安全之角色和責任
這個控制措施是要求組織在處理個人健康醫療資訊時,應清楚地定義和指派資訊安全責任,並成立資訊安全管理論壇(Information Security Management Forum,ISMF)來確保組織有清楚可見的管理階層,透過定期召開會議來支持和健康醫療資訊安全有關的各項活動。同時,組織須至少指派一位獨立的人員來負責有關健康醫療資訊的安全。
6.1.2 職務區隔
這個控制措施是要求組織在處理個人健康醫療資訊時,應區隔可能衝突之職務和責任範圍,以降低可能會有未經授權的修改或誤用個人健康醫療資訊的機會。在實務方面,有些小型的組織可能會受限於人力,難以去區隔衝突的職務,但實務上還是需要考量像是活動監視、存取記錄和主管監督等補償性的控制措施來降低風險。
6.1.3 與權責機關之聯繫
這項控制措施的要求,完全比照ISO/IEC 27002的做法,因為當發生資安事件時,組織往往也需要外部單位的協助,因此必須事先擬定適當的程序,說明何種事件該由何人進行通報和聯繫,以及需要聯繫的權責機關包括哪些?舉例來說,在發生網路攻擊事件時,組織需要清楚定義由誰負責與電信和執法等單位進行聯繫。
6.1.4 與特殊關注方之聯繫
這項控制措施的要求也是完全比照ISO/IEC 27002的做法,由於資訊科技的技術發展日新月異,所以組織也經常需要聽取專家的意見,或參加專業的論壇以取得更新的資訊。此一控制措施就是要求組織應與各種和健康醫療資訊有關的團體、專家協會等保持適當的聯繫管道。
6.1.5 專案管理之資訊安全
這項控制措施是針對醫療健康有關的專案管理,必須考量是否會涉及病患的安全,範圍包括任何有關處理個人健康資訊的專案,在早期的階段和過程中,都需要進行資安風險評鑑,只要是有關病患安全的風險,就必須謹慎地分析和準確的處理。
6.2.1 行動裝置政策
這項控制措施是要求組織在處理個人健康醫療資訊的過程中,應評估與健康醫療有關的行動運算的風險,並且制訂使用行動裝置的相關政策,包括需要說明在組織中使用個人私有行動裝置的指引和限制,以及部署符合隱私法規要求的管控做法,同時要求使用者務必要遵守才行。
6.2.2 遠距工作
這項控制措施是要求組織在處理個人健康醫療資訊的過程中,需要針對遠距工作建立所需的政策和措施,以確保在存取、處理或儲存於遠距工作場所的健康醫療資訊安全。另外,有些國家像是德國有限制醫療專業工作者的遠距工作方式,所以若是屬於跨國的醫療團隊,還必須要注意是否有所在地國家的相關法令法規,了解對於遠距處理或傳輸健康醫療資訊的限制。
人員管控是資安的重要一環
在第七章的人力資源安全中,包含了「聘用前」、「聘用期間」和「聘用之終止和變更」等三個控制類型,以及六個控制措施,目標是要在聘用前確保員工和約聘人員了解其資安角色和責任,於任職期間能認知並履行其安全責任,並且將確保組織的利益納入在聘用變更或終止過程中,以下說明各項控制措施的實施要點。
7.1.1 篩選
這項控制措施是要求所有的成員、承包商、志願工作者在處理個人健康醫療資訊的過程中,組織在雇用之前需要確認其身分合法性,同時進行相關的背景調查。除了正職人員之外,也應該涵蓋臨時或短期的工作人員,像是代班醫生、學生、實習生等。至於醫療專業人員像是心理治療師和護士等其資格佐證,也應交由適當的專業醫療機構加以確認。
7.1.2 聘用條款及條件
這項控制措施是要求涉及處理個人健康醫療資訊的組織人員,應以文件化方式來清楚定義其安全角色與責任,像是簽訂工作契約,並且在契約中說明陳述組織的資安政策要求,並且讓員工和雇用人員同意其資訊安全條款和條件,釐清雙方對於資訊安全的責任。
7.2.1 管理階層責任
這項控制措施的要求是比照ISO/IEC 27002的做法,管理階層應要求所有員工和約聘人員,依照組織政策和程序要求配合實施資安事項,此外還需要重視的地方,包括像是病患可能不希望相關的健康醫療工作者是其鄰居、同事或親戚,並且有權可存取其個人健康醫療資訊。換句話說,可能也有健康醫療組織的成員,不希望去存取或審查其朋友、親戚或鄰居的健康醫療資訊,因此,有效的健康醫療資訊管理系統需要處理並考量這些議題。
7.2.2 資訊安全認知、教育及訓練
這項控制措施是要求處理個人健康醫療資訊的組織,必須確保在人員到職時即提供適當的資安教育訓練,並且定期地對所有員工宣導更新組織的資安政策和程序。這部份的更新也涵蓋了可能會處理個人健康醫療資訊的第三方承包商、研究人員、學生及志工等。此外,也必須讓全體人員了解違反資安規定時的懲處過程和後果。
7.2.3 懲處過程
這項控制措施的重點在於組織是否正式公佈懲處的流程,是否會以正確、公平的方式收集客觀的證據,以證明員工違反安全規範。這項控制措施的要求除了比照以上ISO/IEC 27002的做法外,也要求健康醫療組織對於違反資訊安全的懲處過程必須與資安政策一致,並且以公平合理的方式,讓違反資安規範的員工得到正確的處置。特別要注意的是,在整個過程中也要遵循適用的法令法規,並依照兩方工作契約內容的要求來進行。
7.3.1 聘用責任之終止或變更
這項控制措施的要求,除了比照ISO/IEC 27002的做法,針對員工與聘用人員定義、傳達在聘用終止或變更後,其資訊安全責任和義務仍是有效的之外,特別要注意的是在健康醫療組織中,有許多的成員像是醫生和護士,通常會進行職務的輪調,因此要確保在其職務角色異動之後,先前所擁有的權限是否也進行調整,並且在人員正式離開組織之後,其帳號和權限也需要依照聘用終止流程來處理。(未完待續)
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>