直接進入主要内容

成功案例:中山醫學大學附設醫院

中山醫學大學附設醫院通過 ISO 27001 資安驗證,加速推動電子病歷

為提升醫療資源的運用效能、服務品質及病人安全,行政院衛生署力推電子病歷,保障個人健康資訊隱私則是優先要務。透過台灣 IBM 的協助,中山醫學大學附設醫院以不到三個月的時間,推動全部四個院區通過 ISO27001 資安驗證,在電子病歷的發展上奠定後發先至的優勢。

中山醫學大學附設醫院資訊室孫培然主任表示:「我們不是只為驗證而驗證,而是要將 ISO 27001 深化到日常運作。因此,我們向外尋求專業顧問的協助,找出真正的改善重點,全面提升資安品質。」

資安改造由點到面

行政院衛生署計劃以三年推動國內八成醫院落實電子病歷,並將考慮納入評鑑項目,換言之,電子病歷對醫院而言已是箭在弦上,必須儘速因應。衛生署宣告今年為「電子病歷元年」,中山醫大附設醫院也配合政府政策,積極展開一連串電子病歷規劃行動。

電子病歷的好處是多面向的。對病人而言,目前即使是同家醫院的不同院區,紙本病歷的傳遞仍需依賴病人自己申請調閱,電子病歷就可避免舟車勞頓,並節省就醫時間;另一方面,病歷內容將為病人所有,更易於進行自主的健康管理;從醫院的角度來看,電子病歷可大幅節省實體儲存空間、紙張與耗材等列印成本,以及人員傳遞紙本病歷的時間成本。

孫培然主任指出:「由於電子資料傳送速度很快,如何確保病人隱私安全,讓一般大眾都能信任,就成為推動電子病歷的主要挑戰。」

在推動電子病歷之前,中山醫大附設醫院的資安作法以單點產品為重,例如網站入侵防護、防火牆、防毒等;但當前的資安需求則不同於以往,除了確保電子病歷的互通性,還有新版個資法,必須有更全面性的作法,導入ISO 27001就是關鍵的一步。

八字真訣選擇最佳夥伴

ISO 27001 是國際認可的資訊安全管理標準,明確定義資訊安全管理系統(Information Security Management Systems;ISMS)的各項需求及作業內容。透過台灣IBM提供的諮詢、輔導、工具建制及實地勘查,中山醫大附設醫院除了確保資訊系統的嚴密防護、提升機房營運的安全性,還鉅細靡遺地確認各個醫療資訊作業的運作過程,真正達到保障病人資訊安全性與機密性的目標。

在孫培然主任的職涯裡,選擇合作夥伴全靠八字真訣,依序為「功能、品質、服務、價格」。決定進行 ISO 27001 驗證時,四家候選的顧問業者裡最符合這八字真訣的就是台灣IBM。

他說明:「我們面臨時程的壓力,希望一次就能驗證過關,而且還要藉由這次機會找出真正能改善資安品質的重點。IBM的作法值得肯定,不是全盤推翻我們原有的安全機制,而是比對現有作法和標準要求,針對不足之處再做補強。」

依照中山醫大附設醫院的現況和需求,IBM規劃的涵蓋資安現況評估、資安管理架構規劃、資安風險評鑑、資安管理制度導入與試行、資安管理查核與認證等階段。在過程裡,專案經理及相關人員的專業表現,以及為IT及非IT人員分別量身打造的教育訓練,都深獲中山醫大附設醫院的肯定。

穩固基礎,加速推進

中山醫大附設醫院在 2010年 1月中旬啟動專案,4月中旬就順利地讓大慶、中港、中興和太原等四個院區全部通過 ISO 27001 資安驗證,就連IT團隊全體22名成員也都取得主任稽核員(Lead Auditor;LA)專業證照。原先需要六個月時間進行的工作,壓縮在不到三個月內完成,足見中山醫大附設醫院的旺盛企圖心。

目前,中山醫大附設醫院已實施電子病歷的類別包括X光、醫影部超音波、電腦斷層、磁振造影、腸胃道攝影、血管攝影、正子造影、骨質密度、核子醫學及特殊攝影之影像報告。

孫培然主任建議,建置電子病歷首先必須成立推動委員會,並由副院長等級以上擔任主任委員。以我們醫院為例,就是由身兼全國電子病歷委員會主要委員的曾志仁副院長來擔任這項職務。此外,根據衛生署補助項目、紙本病歷產出量較多者、病歷異動頻率較低者、單位及人員配合度較高等條件來選擇實施類別,也是成功推行的秘訣。

中山醫大附設醫院快速完成資安驗證等各項配套條件的,積極地在電子病歷的評核建立指標地位,因應政府計劃的推行進程,將可望為台灣醫療業樹立更多的標竿典範。

IBM

即刻探索 “3Q”CIO 成功特質,填寫問卷,還有機會獲得「酷炫藍光滑鼠」一個!