CIO Taiwan 智慧醫療研討會 會後報導
高雄醫學大學附設中和紀念醫院副院長黃明國強調,要做好醫院的資通安全稽核,必須先知道資通安全的弱點在哪裡,進而瞭解該如何善盡自我保護、不踩地雷,唯有如此,才能憑藉這些經驗進行有效的稽核。
舉例來說,談到健康雲的資料傳遞過程,包括流程、資安或備份等各個構面,都蘊藏許多值得被稽核檢視的點;好比說因為COVID-19疫情影響,使得一些非接觸式生理監控設備的使用需求增加,有些甚至涉及臉部辨識,在此前提下,醫院與當事人是否簽妥同意書,便是一個查核點;黃明國說,臉部辨識牽涉到個資法,當然不能便宜行事、碰觸違法底線。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
以當前最熱門的AI應用而言,執行過程即涉及很多文件。主要是因為,Big data 涉及醫學倫理問題,所以醫院務須謹慎行事,該簽署的同意書、保密協定,都不能有所缺漏,而這些文件,自然也應當列入資安稽查的範圍。為此,高醫大附醫在去年(2020)特別加強法律概念的宣導,希望提醒同仁留意這些細節;與此同時,醫院方面也重新檢視作業法規,特別是AI開發這個部份,不論是與廠商合作進行、或是院內自行開發的過程,舉凡資料庫的申請,乃至因應內外協作的內控文件,都是檢視的重點。
[CIO都在讀: 導入微服務重構現代化HIS架構 ]
「透過不斷地檢視流程與文件,才能掌握作業過程可能出現的失誤,以及這些失誤可能為醫院帶來什麼風險,」黃明國說,稽核室要抓的,就是這些容易犯錯的地方。說到這裡,他也建議醫院要想善盡資通安全稽核,必須審慎思考稽核室的定位設計,假使其定位配置得太低,恐無法指揮各個單位,必須先想清楚。
他重申,早年設計的流程、表單或SOP,許多都是基於HIS概念,而不是基於AI、智慧醫療概念,故而需要重新檢討、修正。除此之外,他也主張必須將IoT納入資通安全計畫的一環,導致資通安全不再是IT人員的事,也同樣是醫工人員的事,甚至是更多人的事,因此非IT人員所應遵守的資通安全規範,都必須被納入新的SOP。
(文/明雲青)
(本文授權非營利轉載,請註明出處:CIO Taiwan)