ISO 27799 資訊安全 醫療

清查醫療資訊相關資產 落實使用者存取控制

2017-10-31
本次將解析ISO 27799:2016之資安控制措施在實務方面的做法,先從第八章的資產管理說起,其中包括三個控制類型和十個控制措施,接著介紹第九章的存取控制,共有四個控制類型及十四個控制措施。
在上一篇文章,說明了醫療業實施資安管控的第一步,就是要從政策、組織及人員面著手,針對組織對於個人健康醫療資訊的管理要求,選擇並實施適當的控制措施。接下來的文章,將繼續從資產管理開始,解析ISO 27799:2016的資安控制措施在實務方面的做法。

清查與醫療資訊有關的資產

在ISO 27799:2016第八章的資產管理中,包含了「資產責任」、「資訊分級」及「媒體處置」等三個控制類型和十個控制措施,其目標是要識別組織中與資訊或資訊處理設施有關的資產,以確保個人健康醫療資訊已依照其重要性進行分級,並受到適當的保護。同時,也要防止儲存於各種媒體中的資訊,不會受到未經授權的揭露、修改和破壞。以下說明各項控制措施的實務要點:

8.1.1 資產清冊

這個控制措施是要求組織必須識別與資訊和資訊處理設施有關聯的資產,並且建立與維護資產記錄的清冊。在清冊中須明確地指派資產的負責人,建立資產可被接受的使用方式與規則。實務方面需要注意的,像是用藥的記錄和醫療設備所產出的報告,必須要維持資產內容的完整性,同時也要考量在特定的環境中,使用這些醫療設備的安全,避免受到不必要的電磁干擾。


▲ISO 27799是專為健康醫療產業的資安標準。

8.1.2 資產擁有權

這個控制措施要求在資產清冊中所記載的資產,必須指定其擁有者,這裡所謂的擁有者,並不是指對於資產本身擁有財產權,而是實際上能夠控制資產的處理、使用和安全,也就是對資產負有管理責任的個人或部門。實務方面,健康醫療組織的角色會是資訊託管者,或是被當事人所信賴的一方,因此更要負起管理個人健康醫療資訊的責任,確保當事人的隱私和資訊安全。

8.1.3 資產之可被接受使用

這項控制措施的要求完全比照ISO/IEC 27002的做法,也就是對於與健康醫療資訊有關聯的資產使用,需要清楚地識別並以文件化方式制訂相關的規範,尤其是使用這些資產的人員,若包括了健康醫療組織的員工或委外人員,也必須要讓這些人員清楚組織對於資訊安全的要求事項,以及需要負起的使用責任。

8.1.4 資產之歸還

這個控制措施要求所有員工、供應商和第三方使用者,在聘僱、合約或協議終止時,應歸還其持有的所有組織的資產。實務方面,無論健康醫療資訊是屬於紙本文件或電子檔,都必須要求人員於聘用和合作關係終止時,歸還所有的資訊。若是使用了個人的設備來處理或儲存健康醫療資訊,也必須確保所有的資訊已移轉交還給組織,並且將資訊從曾經處理或儲存過的設備上安全的清除。

8.2.1 資訊之分級

這個控制措施要求資訊應依照其法律上的要求、對組織的價值、敏感性和重要性來進行分級。實務方面,在進行健康醫療資訊分級時,還需要考量當事人的特殊情況,例如如果是一位逃離被虐待或家暴的患者,有關其居住的新地址和電話號碼,在機密性的保護要求方面,可能會高於有關其手臂受傷而接受治療的資訊。但對於意外接受急診的病患來說,有關其姓名和地址的資訊在機密性的要求方面可能就沒有那麼高,因為許多醫護人員可能會需要存取這些資訊來連絡其親友。

8.2.2 資訊之標示

這個控制措施要求需要依照組織對於資訊的分級分類做法,發展和實作一套適當的資訊標示機制。在實作指引方面,所有的醫療健康資訊都需要適當的標示,讓相關人員在處理時可以清楚和簡單地識別。由於並非所有的資訊都是機密,所以針對非機密的資訊,也可以定義可省略標示的情況,以降低實作時的時間和人力負荷。


▲在許多醫療機構中,無線網路的使用已相當普遍,對於存取內部網路和外部網路的區隔方式,以及網路服務使用的監控機制,也是控制重點。

8.2.3 資產之處置

這項控制措施的要求完全比照ISO/IEC 27002的做法,也就是可依據組織的資訊分級方案,發展和實施有關健康醫療資訊的處理、儲存和傳輸程序。實務上,可以適當地保存傳輸和接收過程的記錄,並且注意有沒有產生資料複本的情況,對於複本應採取同樣的保護機制,並且提醒接收者注意其存取的情況。

8.3.1 可移除式媒體之管理

在這裡所謂的媒體,指的是可以存放資訊的載具,包括常見的USB隨身碟、光碟和紙本文件等。在實務方面,如果可移除式媒體包含了個人健康醫療資訊,就必須採取實體的保護或是資料加密的機制。另外,如果可移除式媒體中有包含未加密的健康醫療資訊,那麼媒體存放的位置和使用的狀態,也必須受到適當的監控。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!