智能应用 影音
CES 2022
event

【黄冠凯专栏】医院网安由小见大 人员科技经费缺一不可

【黄冠凯专栏】医院网安由小见大 人员科技经费缺一不可

电子科技协助医疗人员工作更加效率化,不同部门、合作医院、跨县市之间的健康医疗数据,都能够快速传输而增加服务效率,以及减少病人重复检查之苦,更在未来能发展AI服务,但数据的储存与传输,总有不慎泄漏与遗失的风险,因此医疗产业对於信息安全日渐重视。

本专栏将从网安对於医疗院所的意义,所需付出的成本,到落实网安需要哪些人员协同分析起,最後也从科技的辅助和流程的串接,与读者分享其中或许能够留心的地方,希望能够提供更多产业良性循环,以及对於医疗信息安全的重视及落实速度与广度。

 点击图片放大观看

落实信息安全则需要以医疗副院长、网安长为核心,并且由信息室、临床医护团队、医事人员与行政人员组成委员会进行推动。黄冠凯

确保医院网安的价值与意义?

卫生福利部推动全台医疗院所,实施与导入电子病历及互通、云端药历、医院评监条文,并且将信息安全列入必要具备条件,这都是因为医疗单位会保存,从病患出生到死亡所有的门诊、住院、急诊与开刀纪录等完整纪录。

笔者认为,这些纪录的重要性,就如同医疗器材使用与开发时所强调的安全性与有效性。为了确保医院信息安全,系统需要具有稳定性及安全性,并建立整体安全性环境,才可以降低人为因素与训练所导致的隐形成本。此外,建立妥善的系统,也能让医院经营层、医疗人员、信息人员,得以在信息安全度够高的环境中,执行工作与治疗病患,更是能够减少因人为因素、机器等问题,影响数据运作稳定性。

落实医院网安需要哪些人员?

希望有效落实医院信息安全,笔者认为需要透过委员会模式,由医疗副院长或是网安长负责主导,并且由信息室依照信息安全管理系统(Information Security Management System;ISMS),进而架构、实施、维护,以及根据各时代个资法的要求,与时俱进地规划与持续改善,最後则是由临床医护人员、行政单位、医事单位进行盘点和设计制度、整合流程。让信息安全制度能符合现场单位实际需求,也让医院各处室人员对於数据保管更有概念,数据自然更加安全。

落实医院网安需要哪些科技?

落实医院信息安全除了需要诸如「防毒科技」、「异地备份与备援」、「网络防护与记录」与「服务器警示通报」,但这些都属於基础建置环境。随着网络与物联网(IoT)时代的来临,医疗仪器设备、影印机、门禁管理系统、电梯控制、紧急呼叫等设施都已经可以联网与互联,也因此病患数据就会有外泄的风险问题,进一步涉及医疗服务核心、病人数据保存与安全等问题。

笔者认为,有鉴於此,就需要规划网络设备连线网络区段、监控数据传输流量、後端设备防护、存放数据沙盒。藉由建立上述流程与建置科技设备,才能有效建构医院防护网。

医院网安需要多少经费、流程如何串接?

关於很多人关心的「医疗院所信息安全整体经费规划」,建议从个资法与ISO27001(Information Security Management System;ISMS)的架构要求着手。单位每年度都需要编列预算,执行「防毒」、「设备监控与汰换」、「备份与备援」等任务,并且有短、中、长期不同面向的规划,经费也因机构大小不同,以及未来事业扩充性而有不同的规划。

整个流程串接则需要以「人」为核心,透过「病患」、「临床医护人员」、「行政人员」与「医事人员」的角度,开始检视流程与盘点。藉由整个「病患」门诊、急诊、住院、开刀流程,所有医院同仁可以理解操作流程,进行整个「作业面」、「流程面」与「安全面」的探讨。最终能将相关问题,以及与安全有疑虑的地方进行细部讨论与改善,让整个信息安全能有效进行串接,并且符合安全与制度建立与落实。

以现况观之,目前台湾医疗院所对於医院网安概念与服务的导入部分,领先做法都是设置专职网安长,由网安长负责规划整个体系的信息安全设备、技术、流程制度设置,并且编列短中长期预算进行设备汰换,以及和外部产业进行合作建构信息安全网络防护。健康医疗照护信息安全由小见大,从平日的防护与基本功做起,相信各医疗生态成员在迈向医疗人工智能(AI),以及数码大健康之路时,将能走得又长又稳。

(本专栏由黄冠凯DIGITIMES电子时报智能医疗主编蔡腾辉共同完成)

延伸阅读:【黄冠凯专栏】三大步骤将设计思考带入医院创新

  •     按赞加入DIGITIMES智能医疗粉丝团
更多关键字报导: 智能医疗 网安