網路安全與ISMS -以醫療產業為例 姓名:張碩倫 學號:A0963331 老師:梁明章 2018/12/30
醫療產業概況 電子病歷目前能夠提供病患連續性、高品質醫療服務,減少醫療資源浪費,降低醫療機構醫務管理成本與病歷儲存空間等多項優點,故目前世界重要國家皆積極發展中。 台灣為加速醫療院所實施電子病歷,並強化電子病歷之資訊安全以增加民眾對電子病歷之接受與信賴,因此致力於醫院ISO27001:2005資訊安全管理系統驗證,以保障民眾之醫療資訊安全。 2018/12/30
目標與導入範圍 目標 提供 ISO 27001:2005 資訊安全管理系統驗證服務,透過實際之教育及訓練方式使醫院自主導入資訊安全管理系統,建立安全可靠之資訊工作環境,確保病歷資料安全,並維護民眾隱私及權益。 2018/12/30
目標與導入範圍 導入範圍 資訊安全認證範圍 醫院之整體業務及服務 機房基礎設施 網路維護運作與防火牆 病歷資料與醫療資訊的保存、備份、保密 2018/12/30
ISMS制度建置規劃 階段 內容 產出 安全需求分析 專案執行計畫書、資訊需求、現況分析 工作計畫書與簡報資料、現況改善建議書 資訊安全/流程教育 ISMS建置課程教材、ISO27001介紹、ISMS介紹與建置 ISO27001訓練教材 安全政策與架構 資訊安全政策第一和第二階文件、資安組織建議報告 資訊安全政策範本、資訊安全政策教材 風險評鑑 風險評鑑工具、評鑑報告、處理計畫書 風險管理工具、評估報告、管理教材 風險處理 資 訊安全政策第三和第四階文件、適用聲明書、資安文件管理工具 ISMS一~四階文件 施行與檢核 內部稽核矯正建議、外部稽核矯正建議、ISO27001預評與正式評鑑報告、版本提升輔導 矯正或與防措施報告、內部稽核教材 2018/12/30
面臨風險 以急診為例 急診與急救作業是與病人生命息息相關,其支援的資訊系統的安全及管理機制若有瑕疵,可能造成病患生命危險及醫療組織名譽受損及背負法律責任。 病歷資料外洩 由於管理制度的疏忽以及其他不正當的系統操作,造成有關病患私人隱私的資料外洩,影響病患權益。 2018/12/30
風險-脆弱點 人員缺乏與招募制度不足-醫院的資訊管理人員人數少,資訊管理能力不足 缺乏監督機制-作業控管與維護控管 缺乏文件管理使用政策 缺乏安全察覺-如陌生人進出辦公區域、對行為是否違反安全規範不了解 未保護通訊線路 缺乏對外部或清潔人員的監視工作 存取權限指派錯誤 2018/12/30
風險-威脅 通訊滲透-未使用的網路連接點(空的port) 非法使用軟體-使用盜版、使用數目超出合法授權 惡意軟體-病毒、蠕蟲、P2P軟體或即時通訊 未經授權使用網路設備-如上班時間瀏覽其他網頁 未經授權的方式下使用軟體 2018/12/30
改善方式 建立完整的資訊管理部門,提升整體資訊管控能力。 資訊存取權限的明確制定與完整執行,如權限的分級。 資訊設備必須有妥善管理,如設置密碼、機房設備的安全、門禁制度。 醫院整體資訊安全教育配套,如工作習慣、基本的網路安全知識等等。 2018/12/30
Thank you for listening. 2018/12/30