三军总医院医疗资讯安全系统设计

1、三軍總醫院醫療資訊安全系統設計三軍總醫院醫療資訊安全系統設計第五組報告者:B9444219程仲駿組員 :B9444223黃玉佩 B9444137何昕宸 B9444149何炳杰 B9444239李資理三軍總醫院醫療資訊安全系統設計三軍總醫院醫療資訊安全系統設計1. 醫療資訊安全概論醫療資訊安全概論醫療資訊與隱私權重要何謂醫療資訊安全?醫療資訊安全與資訊安全差異?(從資安揭露角度)2. 三軍總醫院醫療資訊安全系統三軍總醫院醫療資訊安全系統目前醫療資訊系統架構及資安缺口醫療資訊安全需求(機密 真確 權限 不可否認 等)未來具有資安功能的醫療資訊系統架構 UCA XKMS SAML XACML導入醫療

2、資訊安全系統預估效益3. 為確保隱私權應有的醫療資訊安全政策為確保隱私權應有的醫療資訊安全政策 建議三總實行HIPPA安全政策4. 結論結論三軍總醫院醫療資訊安全系統設計三軍總醫院醫療資訊安全系統設計1. 醫療資訊安全概論醫療資訊安全概論醫療資訊與隱私權重要何謂醫療資訊安全?醫療資訊安全與資訊安全差異?(從資安揭露角度)2. 三軍總醫院醫療資訊安全系統三軍總醫院醫療資訊安全系統目前醫療資訊系統架構及資安缺口醫療資訊安全需求(機密 真確 權限 不可否認 等)未來具有資安功能的醫療資訊系統架構 UCA XKMS SAML XACML導入醫療資訊安全系統預估效益3. 為確保隱私權應有的醫療資訊安全政

3、策為確保隱私權應有的醫療資訊安全政策 建議三總實行HIPPA安全政策4. 結論結論前言前言v在電腦與網路速度愈來愈快、人們對醫療品質在電腦與網路速度愈來愈快、人們對醫療品質的要求愈來愈高、醫療同業競爭與健保環境愈的要求愈來愈高、醫療同業競爭與健保環境愈來愈嚴峻的情況下，醫院對資訊化的需求也日來愈嚴峻的情況下，醫院對資訊化的需求也日趨強烈。趨強烈。完善資訊環境的定義完善資訊環境的定義完善的資訊環境安全性方便性效能功能實際整體運作醫院資訊人員醫療資訊安全醫療資訊與隱私權重要醫療資訊與隱私權重要 對病人而言，其所罹患的疾病或健康狀態等醫療資訊，如果被不當外洩，可能造成病人工作、交友、結婚、保險等權利

4、受到重大影響，以及個人身心、名譽與權益受到傷害。 -胡自強市長事件 -肺結核資訊外洩 -性傳染疾病 壹、最小需求原則貳、直接取得原則參、尊重及告知原則肆、公平正義原則伍、符合現行法規原則陸、合理範圍內之最大安全原則柒、病人權利保障原則捌、不可揭露原則：玖、生命權及公共利益保障原則何謂醫療資訊安全何謂醫療資訊安全?維持資訊系統維持資訊系統(System)正常運作正常運作確保資料確保資料(Data)安全與正確安全與正確v資料安全的目標資料安全的目標機密性Confidentiality 祕密性（secrecy） 隠私性（privacy）整體性（Integrity） 正確性 ( accuracy )

5、一致性（consistent)可取用性Availability 回應時間之即時性 ( Real Time ) 容錯與備援（fault tolerance/backup）醫療資訊安全與資訊安全差異醫療資訊安全與資訊安全差異整理分析 ，一般企業資訊系統與醫療資訊系統架構基本上涵蓋的範圍是一樣的新一代醫療資訊系統新一代醫療資訊系統新一代醫療資訊系統遭遇問題新一代醫療資訊系統遭遇問題n前端使用者工具改變：個人電腦、Notebook、PDA、Mobile Phone、IAn資料內容改變：包括文字、靜態與動態影像、聲音n使用者介面改變：使用瀏覽器(Browser)作為操作介面n網路頻寬需求改變：現階段僅傳

6、輸文字資料、未來需符合多媒體傳輸資料需要n資料交換需求改變：原僅提供批次式靜態資料給衛生單位及健保局，未來需提供動態即時資料給上下級醫院n無線網路需求：可快速部署、彈性調整網路頻寬n需符合線上交易、教學、研究、醫院營運管理等不同需求n提供個人化使用者介面(Portal)n新舊系統資料整合問題n原有人力需重新訓練n人力不足，無法同時應付新舊系統需求n程式發展及系統管理工具尚未成熟n醫療法規及電子簽章法修改問題n使用者心態需大幅調整(需自行配置所需功能，非全部由資訊部門提供)TransfusionOperation Room PharmacyWhich leg,right or left?Tran

7、sfusion Mix-Up Kills PatientIs it one tablet 2x per dayor2 tablets 1x per day?影響醫療資訊安全風險因子影響醫療資訊安全風險因子從資訊主管單位面從資訊主管單位面從作業流程面從作業流程面資料(備份與管理)人員網路(設備/線路、內/外部)主機/伺服器作業系統/資料庫駭客/病毒應用程式個人電腦病人辨識(管制)藥品辨識輸血用藥檢核危急通知系統病人安全/傳染病通報系統員工發燒通報系統三軍總醫院醫療資訊安全系統設計三軍總醫院醫療資訊安全系統設計1. 醫療資訊安全概論醫療資訊安全概論醫療資訊與隱私權重要何謂醫療資訊安全?醫療資訊安全

8、與資訊安全差異?(從資安揭露角度)2. 三軍總醫院醫療資訊安全系統三軍總醫院醫療資訊安全系統目前醫療資訊系統架構及資安缺口醫療資訊安全需求(機密 真確 權限 不可否認 等)未來具有資安功能的醫療資訊系統架構 UCA XKMS SAML XACML導入醫療資訊安全系統預估效益3. 為確保隱私權應有的醫療資訊安全政策為確保隱私權應有的醫療資訊安全政策 建議三總實行HIPPA安全政策4. 結論結論目前醫療資訊系統架構及資安缺口目前醫療資訊系統架構及資安缺口 幾年前當三軍總醫院的總院還位於台北市汀州路時，1位剛交接DBA的管理人員，因為下錯了1個指令，而把醫院1個月內的預約掛號資料全數刪除，導致院方無

9、法得知病人掛號的順序，光是這1個月的預約掛號資料消失，就足以讓醫護人員忙翻天，結果我只好派出大部分的同仁至診間對病人道歉，並一一詢問病人的掛號號碼，花了近1個月的時間，才解決1位同仁下錯指令的問題。(三軍總醫院黃援傑主任)此案例系統問題此案例系統問題機密性Confidentiality 祕密性（secrecy） 隠私性（privacy）整體性（Integrity） 正確性 ( accuracy ) 一致性（consistent)可取用性Availability 回應時間之即時性 ( Real Time ) 容錯與備援（fault tolerance/backup）外部的駭客與病毒攻擊人員的存取

10、權限問題病歷資料為何可以一次刪掉?除了備援處理之外，我們還可以有哪些預防呢?具UCA+XKMS+SAML+XACML防範的醫療資訊系統解決方案解決方案v導入具導入具UCA+XKMS+SAML+XACML防範的醫防範的醫療資訊系統療資訊系統 UCA:經由註冊中心向經由註冊中心向CA申請憑證，運用憑證方式做加密申請憑證，運用憑證方式做加密做為簽章處理做為簽章處理XKMS:以以 XML 為基礎的簡單協定，以便透過為基礎的簡單協定，以便透過 XKMS 服務服務處理金鑰資訊，使應用程式不必理解複雜的處理金鑰資訊，使應用程式不必理解複雜的 PKI 語法和語語法和語義。義。SAML:作為授權及確認層，可以補

11、足SOAP中不足的安全功能。XACML是一個以XML為基底提供在網際網路上資訊存取呈現的控制策略。情境圖情境圖經由註冊中心向CA申請憑證做單一的整合登入在廣大的網路提供一個有效的控制策略。處理金鑰資訊Use Case Diagram醫事人員醫事人員病患病患院方醫療資訊人員院方醫療資訊人員系統管理者系統管理者SYSTEMUCASAML數位簽章數位簽章XACMLXKMS經由註冊中心向CA申請憑證CA架構架構v架構中包含了整合醫療資訊健康認證中心(IEHCA)，註冊中心(Register Authority) ，目錄服務(Directory Service)伺服器。全民電子整合醫療資訊健康認證中心(

12、EIHCA)負責核發以下三種憑證: (1)醫事人員卡 (2)民眾健康保險卡 (3)藥局卡XKMS處理金鑰資訊XKMSv在應用程式與在應用程式與 PKI 解決方案之間建立一個抽象解決方案之間建立一個抽象層。這樣就允許應用程式根據需要加入不同的層。這樣就允許應用程式根據需要加入不同的 PKI 解決方案，而不需要對應用程式本身作任何解決方案，而不需要對應用程式本身作任何修改。修改。v提供一種以提供一種以 XML 為基礎的簡單協定，以便透過為基礎的簡單協定，以便透過 XKMS 服務處理金鑰資訊，使應用程式不必理服務處理金鑰資訊，使應用程式不必理解複雜的解複雜的 PKI 語法和語義。語法和語義。XKMS

13、 伺服器端本身的安全性伺服器端本身的安全性 v防止重送攻擊（防止重送攻擊（replay attack） v防止服務的阻斷服務攻擊（防止服務的阻斷服務攻擊（denial of service attack） v使用傳送的安全機制使用傳送的安全機制v驗證一個良好的、健壯的金鑰恢復策略驗證一個良好的、健壯的金鑰恢復策略SAML做單一的整合登入SAMLvSAML可以使得Web-based的安全互通機制例如單一登入（single sign-on）能跨站台供多個醫院使用。SAML運用了產業的標準協定及訊息架構，例如XML 簽章（XML Signature）、XML加密（XML Encryption）及SO

14、AP。SAML可以容易地整合在標準的環境中使用，例如HTTP及一般的瀏覽器中。同樣地，其它的安全機制也可以使用SAML作為授權及確認層，例如SAML正可以補足SOAP中不足的安全功能。SAML可視為不同安全技術跨越Web services的一項重要產業標準。SAML資料庫A掛號台其他分院single sign-on三總醫護平台醫事人員XACML在廣大的網路提供一個有效的控制策略。XACMLvXACML是一個以XML為基底提供在網際網路上資訊存取呈現的控制策略。一個大型的企業的資訊系統與設備通常多而且複雜，如何有效的控制這些資訊變成為一個很大的挑戰，因此XACML的推動就是為了在廣大的網路提供一

15、個有效的控制策略。導入醫療資訊安全系統預估效益導入醫療資訊安全系統預估效益v藉由重複確認的憑證以及登入模式可減少人員藉由重複確認的憑證以及登入模式可減少人員疏忽所帶來的損失疏忽所帶來的損失v以以XML為基礎做系統的開發，結合為基礎做系統的開發，結合UCA、XKMS、SAML、XACML而成的資訊系統將有而成的資訊系統將有助於醫療資訊系統基礎建設上助於醫療資訊系統基礎建設上CIA資安層面、通資安層面、通訊及重要資料防護做更進一步的防範訊及重要資料防護做更進一步的防範v此系統除了給予醫事人員使用外，並可以針對此系統除了給予醫事人員使用外，並可以針對一般民眾做掛號及就診用途之改良一般民眾做掛號及就診

16、用途之改良三軍總醫院醫療資訊安全系統設計三軍總醫院醫療資訊安全系統設計1. 醫療資訊安全概論醫療資訊安全概論醫療資訊與隱私權重要何謂醫療資訊安全?醫療資訊安全與資訊安全差異?(從資安揭露角度)2. 三軍總醫院醫療資訊安全系統三軍總醫院醫療資訊安全系統目前醫療資訊系統架構及資安缺口醫療資訊安全需求(機密 真確 權限 不可否認 等)未來具有資安功能的醫療資訊系統架構 UCA XKMS SAML XACML導入醫療資訊安全系統預估效益3. 為確保隱私權應有的醫療資訊安全政策為確保隱私權應有的醫療資訊安全政策 建議三總實行HIPPA安全政策4. 結論結論建議三總實行建議三總實行HIPPA安全政安全政策

17、策vHIPPA政策共分為以下共四方面政策: 法律、自身權利、使用規範、修改法律、自身權利、使用規範、修改v須遵守此HIPPA政策的人員指:1. 大多數的醫師、護理人員、藥師、醫院、診所、療養院以及其他醫療機構。2. 醫療保險公司、維護健康組織 以及大部分公司健保方案 3. 政府的健保機構:全民健保病人受到法律保病人受到法律保護的醫療資訊護的醫療資訊1. 病人病歷裡的一切資訊，而所謂的病歷是由負責病人病歷裡的一切資訊，而所謂的病歷是由負責治療病人的醫療人員治療病人的醫療人員 (包括醫生、護理人員包括醫生、護理人員etc) 來來撰寫。撰寫。2. 病人的醫師在與護理人員或是其他人員溝通中，病人的醫師

18、在與護理人員或是其他人員溝通中，所談到任何有關於所談到任何有關於 “病人病人” 的醫療資訊也將受到此的醫療資訊也將受到此條款保護。條款保護。3. 醫療保險公司的電腦檔案裡，一切有關於病人的醫療保險公司的電腦檔案裡，一切有關於病人的資訊。資訊。4. 病人在診所裡的付費資訊。病人在診所裡的付費資訊。5. 除非在特定情況下，否則須遵守此條款的人員除非在特定情況下，否則須遵守此條款的人員 (後文解釋後文解釋)，對任何有關病人的任何醫療資訊都應，對任何有關病人的任何醫療資訊都應當保密。當保密。病人對於有關自己的病人對於有關自己的醫療資訊的權利醫療資訊的權利1. 查閱或是複製取得自己的病歷查閱或是複製取得

19、自己的病歷2. 修改自己的病歷修改自己的病歷 (後文解釋後文解釋)3. 被告知自己的醫療資訊將如何被分享或被告知自己的醫療資訊將如何被分享或是使用是使用 4. 病人有權決定自己的醫療資訊可不可以病人有權決定自己的醫療資訊可不可以被用在特殊的用途上，譬如說市場調查被用在特殊的用途上，譬如說市場調查 (Marketing)5. 當自己的醫療資訊被使用於某種用途上當自己的醫療資訊被使用於某種用途上時時 (certain purposes)，一份詳細的報告必，一份詳細的報告必須要寄給病人，告知他的醫療資訊在何時被須要寄給病人，告知他的醫療資訊在何時被使用以及被如何使用。使用以及被如何使用。6. 假如病

20、人覺得自己有關上述的權力遭受假如病人覺得自己有關上述的權力遭受侵犯或是被拒絕，病人可以透過以下的管道侵犯或是被拒絕，病人可以透過以下的管道申訴申訴: 向病人的醫療提供機構與保險公司提向病人的醫療提供機構與保險公司提出抱怨申訴出抱怨申訴 向政府提出抱怨申訴向政府提出抱怨申訴病人的醫療資訊病人的醫療資訊可以在下面的情可以在下面的情況下被使用況下被使用:1. 為了提供給病人醫療服務。為了提供給病人醫療服務。2. 為了付服務病人的醫療人員應得的薪資。為了付服務病人的醫療人員應得的薪資。3. 要是病人的親朋好友有參與病人的醫療要是病人的親朋好友有參與病人的醫療 (譬如說幫病譬如說幫病人做復健人做復健)，

21、或是當他們須負擔病人的醫療費用時，病，或是當他們須負擔病人的醫療費用時，病人的醫療資訊可以分享給他們知道，除非病人反對。人的醫療資訊可以分享給他們知道，除非病人反對。4. 為了讓醫師與療養院提供合適病人的安全與乾淨的為了讓醫師與療養院提供合適病人的安全與乾淨的服務。服務。5. 為了公共衛生安全，譬如說醫院必須呈報為了公共衛生安全，譬如說醫院必須呈報SARS感感染的案例。染的案例。6. 提供必要的資訊給執法人員，譬如說槍傷。提供必要的資訊給執法人員，譬如說槍傷。7. 緊急治療。緊急治療。8. 幫助醫院確認死者身分。幫助醫院確認死者身分。9. 在管理機構或是政府的允許下，提供給學術單位做在管理機構

22、或是政府的允許下，提供給學術單位做研究。研究。10. 法律與行政需求。法律與行政需求。11. 國家安全需求。國家安全需求。12. 其它一切用途都必須事先徵求病人同意，包括提供其它一切用途都必須事先徵求病人同意，包括提供給病人的雇主做保險用途。給病人的雇主做保險用途。有關病歷申請、有關病歷申請、運用與修改運用與修改:1. 病人有權申請自己的病歷或是詢問其它醫療資訊。病人有權申請自己的病歷或是詢問其它醫療資訊。2. 在極少數在極少數 “特殊特殊” 的情況下，醫師可以拒絕提供完的情況下，醫師可以拒絕提供完整的資訊，譬如說當醫生認為公開這項資訊會對病整的資訊，譬如說當醫生認為公開這項資訊會對病人或是他

23、人造成危險時。人或是他人造成危險時。3. 病人的病歷在大多數的情況下必須在被申請後的病人的病歷在大多數的情況下必須在被申請後的30天內交給病人，醫療人員可以再做另外天內交給病人，醫療人員可以再做另外30天的延天的延期，但是必須將延期原因告知病人。期，但是必須將延期原因告知病人。4. 病人需負擔病歷影印與運送費用。病人需負擔病歷影印與運送費用。5. 病人可以要求檢閱與修改病歷，或是增加新的資病人可以要求檢閱與修改病歷，或是增加新的資訊，假如他覺得病歷不夠完整。訊，假如他覺得病歷不夠完整。6. 假如醫院認為病人要求的修改不合理，病人依舊假如醫院認為病人要求的修改不合理，病人依舊有權將自己的意見以旁

24、注的方式記載在病歷裡。有權將自己的意見以旁注的方式記載在病歷裡。7. 病歷的修改必須在要求後病歷的修改必須在要求後60天內完成，醫療人員天內完成，醫療人員可在向病人解釋後再做另外可在向病人解釋後再做另外30天的延期。天的延期。8. 病人每年都可免費病人每年都可免費 (一次一次) 申請自己病歷如何被使申請自己病歷如何被使用的資訊報告。用的資訊報告。9. 病歷被使用的資訊報告須在要求後的病歷被使用的資訊報告須在要求後的60天內寄到，天內寄到，醫療人員可在向病人解釋後再做另外醫療人員可在向病人解釋後再做另外30天的延期。天的延期。10. 病人可以要求以上資訊以其他方式寄到病人指定病人可以要求以上資訊以其他方式寄到病人指定的地點的地點 (這個規定的用意是