全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
馬偕醫院力行分層授權確保資料不外洩
文/iThome (記者) 2007-12-14


醫院是救人醫病的地方,經手的資料都與個人息息相關。馬偕醫院資訊室主任許世欣表示,醫院除了要保護人命,也同樣要負有保護與人命相關的重要資料的責任。

醫院的機密資料相對其他產業來得多,不只是病歷資料、臨床診斷資料、醫研資料,甚至是採購訂單、進銷存和薪資財會資料等。許世欣指出,馬偕醫院的醫研資料因為資料量大,對外有獨立的連網通道,資料權限也掌握在醫研部門手中,資訊室則負責其他資料的安全性。

因為資料類型多,有許多資料隱含個人隱私,透過層級節制的授權方式,來做到避免資料外洩。

許世欣說,將每一個類型的資料庫切割、獨立,避免駭客入侵時,可以從其中一個資料庫窺得全貌,是馬偕醫院避免資料外洩的第一步。因為醫院的資料庫存取速度頻繁,也經常需要進行資料分析,對資料庫加密的方式並不適合馬偕醫院,因此,馬偕醫院透過層級節制的授權方式,讓權限與資料機密程度能夠相符合。

許世欣表示,馬偕醫院有資安事件處理小組,以行政副院長為首;為了配合電子病歷的施行,也制訂了電子病歷調閱管理辦法。但問題在於不同資料各自有其主管的部門,如何做到真正授權與資料機密程度相符合,最好的方法就是由資料擁有者決定誰有權讀取相關資料。也因此,馬偕醫院有了嚴謹的分層授權流程。

許世欣舉例,批價、掛號資料由醫事室負責,開刀資料由開刀房主任負責,病歷調閱由病歷室負責,採購資料由採購室和財務部負責。馬偕醫院透過組織授權方式,將資料的擁有權限授權到各單位主管,再由各單位主管授權到部門同仁。許世欣指出,這種授權方式有憑有據,避免外行授權內行,也避免IT部門直接碰觸到敏感資料或者是不當授權的問題。當然,許多病歷資料也隱含病人的個人資料,除了病人的主治醫生有權調閱病歷外,若作為研究病歷研究,調閱需求則必須由醫研單位同意,也杜絕潛在人為資料外洩的疑慮。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome