後疫情時代智慧醫療科技展望與未來(五)
疫情帶動數位醫療模式興起,如何藉由數位科技協助臨床醫護人員工作具有效率化,讓整個臨床作業、社區醫療群、跨縣市與跨國之間的臨床健康醫療數據,能夠於安全環境下快速進行傳輸而能增加臨床服務效率,並且減少病人重複檢查(驗)之苦與減少健保資源浪費。更能在於明後年次世代平台交換機制建構完善數據庫與發展相關智慧醫療 AI 服務,但臨床數據儲存與傳輸,總有相關資訊安全風險,因此如何針對數據資訊安全進行管理則為醫療院所重視議題。
文/黃冠凱‧衛生福利部彰化醫院醫務行政室
隨著後疫情時代帶動整個醫療產業進行數位轉型,臨床醫護人員對於病人照護所需要臨床健康醫療數據進行臨床決策判斷需求日益增加,整個臨床數據可以經由醫療儀器設備、檢查(驗)、健康存摺、社區醫療群轉診平台與物聯網相關上傳數據獲得相關資料,因此如何確保這些臨床數據安全性是各醫療產業所重視課題。
本文透過不同面向與角度,將與大家探討資訊安全對於醫療院所的意義、成本到落實資訊安全環境需要那些人員協同分析,並且如何藉由科技輔助和醫療臨床作業流程進行串接,與如何建構零信任架構環境機制和商業模式建立,希望能夠提供醫療產業對於資訊安全重視及落實速度與廣度。讓醫療院所能夠提供好的資訊安全環境,並且可以使後續臨床健康醫療數據可以在安全傳輸環境下進行後續臨床數據平台建置。
如何確保醫療院所資訊安全的價值與意義
嚴重特殊傳染性肺炎(Coronavirus disease 2019,COVID-19)帶動整個數位醫療科技發展,因此衛生福利部積極推動整個臨床數據交換與共享機制,從早期電子病歷互通、雲端藥歷到現在虛擬健保卡、遠距醫療、轉診平台與醫療次世代平台等,另外今年醫院評鑑暨醫療品質策進會更是把資訊安全列入必要具備條件,並且將「醫療資訊安全政策」獨立章節出來將(1)資安聯防平台、(2)資安政策與法規遵循、(3)情資交流與應演練、(4)醫療領域資安人才等進行相關規定與說明。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
因此我們可以得知政府、醫療機構與民眾為何如此重視資訊安全傳輸性,這都是因為醫療院所都會保存病人從出生到死亡的門診、住院、急診、開刀記錄、檢查(驗)與影像等完整記錄。
所以臨床醫療數據記錄重要性,就如同醫療軟體與器材使用與開發時強調安全性、有效性與完整性。因此為確保醫療院所資訊安全環境,系統需要穩定與符合傳輸安全性,並且建構安全防護醫療作業環境,才讓有效降低因為人為與訓練等相關因素造成隱性成本。
此外,建構具有符合資訊安全環境的系統,也可以讓臨床醫護人員、資訊人員、醫事人員與醫院經營者,可以在資訊安全強度高的環境下,執行臨床作業與治療病人,並且減少機器、人為因素與操作等問題,影響臨床健康數據資料傳輸穩定性。
落實醫療院所資訊安全需要哪些人員參與
醫療院所如何有效落實資訊安全,則有賴於透過委員會模式,由資安長或是醫療副院長進行主責,並且由資訊室依照資訊安全管理系統(Information Security ManagementSystem,ISMS)標準進行架構、實施與維護,並且依照個人資料保護法要求進行相關醫院服務流程、系統、資料欄位與醫療儀器進行相關盤點、設計制度與流程整合,讓資訊安全制度符合臨床醫護現場作業需求,也讓醫院相關人員對於資料保管、防護與傳輸機制原理更有概念,讓資料防護更具有安全性。
落實醫療院所資訊安全需要哪些科技
有效落實醫療院所資訊安全除了基本「異地備份與備援」、「防毒軟體」、「伺服器警示系統」與「網路監控系統」等,但這些都是屬於基礎資訊安全建置環境,隨著物聯網(IoT)與遠距醫療照護時代的來臨,醫療儀器設備、遠端傳輸裝置、影印機、門禁系統、電梯控制、病房緊急呼叫與監視系統等因為可以連網與互聯,因此病人相關臨床健康醫療數據會有外洩的風險問題,進一步涉及醫療服務核心、病人資料保存與安全等問題。
[ 推薦閱讀:出院準備銜接長照服務,長照科技多點齊發 ]
有鑒於此,就需要針對具有物聯網機制相關儀器、設備與傳輸平台進行連線網路區段、監控臨床資料數據傳輸流量、後端設備防護與存放臨床數據沙盒平台。藉由建置上述流程整合與建構相關資訊安全科技設備機置,才能有效建構醫院資訊安全防護網路機制。
醫療院所資訊安全建置經費與流程如何進行串接
目前大眾關心的「資訊安全整體經費規劃」,建議可以先從個人資料保護法與 ISO 27001 ISMS 的架構要求著手。資訊單位需要每年針對「防毒軟體」、「雲端系統防護」、「APP 軟體防護」、「設備監控與汰換」、「備份與備援」與「醫療儀器設備」等任務,要跟醫工、總務、病歷室與臨床醫護人員進行相關盤點與編列相關預算,並且要有短、中與長期規劃,整體資訊安全相關經費依照機構屬性與規模不同和未來事業擴充性不同應該要佔總體預算約 3%~15% 左右。
整個資訊安全如何進行流程串接,則需要從以「人」為核心,藉由「病人」門診、急診、住院與開刀就醫流程所接擉到「臨床服務」、「檢查(驗)」與「行政服務」進行流程檢視與盤點。並且讓醫療院所同仁可以從「作業面」、「流程面」與「安全面」進行探討,將所有服務流程有資訊安全疑慮地方進行討論與改善,這樣才可以讓資訊安全有效進行串接,並且讓資料數據符合完整性、正確性與有效性三個要素。
醫療院所如何建立零信任架構
醫療院所需要藉由「驗證機制」、「持續監控」與「防護機制」為原則,並且藉由流程盤點與整合落實達到整個零信任架構為目標,並且針對(1)網路基礎設施、(2)應用層安全性、(3)第三方身份驗證機制與(4)應用 API 端點驗證等面向進行。
另外隨著雲端、分散式服務與微服務發展與持續網路資訊安全威脅,各醫療院所需要持續引用零信任架構為首要課題,因此如何進行相關驗證、監控與防護,並且從醫院內部與外部使用者安全存取與安全,如何強化與進行完整應用 API 安全架構是未來趨勢發展。
零信任架構趨勢下的商業模式
物聯網、API、微服務與雲端服務等是未來發展趨勢,因此資安產業如何依照醫療機構需求與規劃,需要先從場域合作提供使用服務,並且藉由場域回饋數據進行分析,最後依據醫療院所「經費」、「作業環境」與「服務流程」,進行相關「訂閱制」、「平台分潤」、「軟體服務」與「顧問式服務」進行整個收費與服務流程規劃,提供醫療機構依照需求與經費需求進行方案購置,讓整個資安產業、醫療機構與病人達到三贏局面。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
