情境示意圖(iThome檔案照)

各大醫療院所中,過去二十多年來,習慣用「病安文化」作為與病人的溝通語言,最關鍵的要素就是「通報機制」,包括藥品、醫材,以及院內感染等。

衛生福利部資訊處處長龐一鳴表示,醫院負責推動資安的單位是資訊處,但也只是扮演溝通橋樑的角色,必須和業務單位、醫管會一起合作,共同推動資安才行。

所以,如果要讓醫院內的醫師與各單位職工都對資安有共識,必須用他們習慣的語言,例如:以病安文化作為共同溝通的基礎。

只要醫院從業人員形塑出「資安即病安」的共識,他認為,後續不論是推動醫院加入衛福部成立的H-ISAC(資訊資安分享與分析平臺),或將參與H-ISAC作為醫院評鑑的加分項目,推動難度會大幅度縮減。

衛生福利部資訊處處長龐一鳴表示,列為CI的64家醫院,年底前都要加入H-ISAC,也會成為醫院評鑑加分項目。(攝影/洪政偉)

政府鼓勵64家CI醫院,在今年底前加入H-ISAC

用聽得懂的語言溝通,溝通才不會無功而返。就醫院推動資安的角度而言,龐一鳴認為,「人」是最大的挑戰,因為各科別的醫生都有其專業,最好方式就是從醫院高層著手,例如,針對管理階層的院長來進行要求,或者是從資通安全管理法來規範,要求名列關鍵基礎設施(CI)的醫院,都須設立資安長。透過這種由上而下的溝通,都可讓資安重要性先立下基礎。

他也認為,當許多醫院接下來的目標,都是推動「智慧醫療」時,若能跟醫院同仁溝通觀念,也可以形成共識。舉例來說,若院方缺乏良好資安防護,作為智慧醫療基礎時,一旦遇到資安事故,容易因根基不穩而垮臺。

許多醫院目前也面臨資安困境,龐一鳴表示,有下列狀況:首先,是資安人力不足,醫院也有大小不一、分科精細、人員組成多樣化的情形;在醫療儀器的部分,也面臨種類繁多、設置分散且管理制度不一致;此外,醫療程序往往優先於資安考量,醫療儀器與資訊系統的可用性,也優於機密性。在法規部分,資安法只規範公立醫院及關鍵基礎設施醫院。最後,則是基層診所缺乏資安概念。

龐一鳴指出,打造跨醫院做資安情資分享與分析的H-ISAC,可以改善既有資安困境。目前CI醫院有64家,非CI醫院有四百多家,小診所有二萬家,而針對醫院釐清IT與OT系統並作風險盤點的工作,預計年底完成。

事實上,衛福部H-ISAC在2018年6月完成,有42家列為CI的醫院加入,預計2019年底前,64家列為CI的醫院,將會全數加入H-ISAC;至於作為醫院緊急通報應變的H-CERT平臺,也計畫在年底完成;作為二線SOC資安維運平臺,則在明年底完成。「但重點是,要鼓勵有更多的醫院加入並成為會員。」龐一鳴說,這也會成為醫院評鑑的加分項目。

 相關報導  打造國家級資安情報力


Advertisement

更多 iThome相關內容