趙宏進

醫院資訊安全ISO評鑑  慈濟零缺點

面對醫療資訊全面電子化的趨勢，也朝向影像、病例全面電子化的發展，慈濟醫療志業所屬的六家醫院，在衛生署的鼓勵下，一個月內陸續通過ISO27001及CNS27001的評鑑，獲得審查委員「無缺點」的肯定。

慈濟醫療志業六家醫院因將資訊成功運用在醫療管理上，並以分工落實有效控管，嚴密保護病患隱私安全並成功營造讓病患安心看病、享有因電子化而更方便有效率的醫療服務品質，而獲得肯定。

 慈濟醫院在花蓮成立後，玉里慈濟醫院、台東關山慈濟醫院、嘉義大林慈濟醫院、臺北新店慈濟醫院、臺中潭子慈濟醫院陸續啟業，在為更多民眾守護生命守護健康的前提下，為確保病患資料的機密、完整和可用性，以及做為「少紙化」環保綠色醫院楷模的自我要求，慈濟六院積極發展全方位醫院資訊系統，建置資訊安全管理系統，不但由花蓮慈院開始率先推行無紙化病歷，影像檢查如X光、電腦斷層、核磁共振等也早已改為電子影像傳輸設備，減少儲藏底片空間、沖洗時間、與沖洗藥劑的耗用與污染，現在各院病歷與醫囑、護囑及檢查系統均已電子化，更重要的是同時將電子病歷系統結合電子簽章，做到安全層層把關並更有效率的醫療資訊服務。

二○○九年衛生署推動電子病歷資訊安全強化案及醫院ISO27001:2005 驗證服務案兩項專案計畫，慈濟醫療率先響應，先後導入並建置「資訊安全管理系統ISMS 」(Information Security Management System) ，首先做好強化慈濟醫療志業資訊安全，保障病患資料隱私及安全的工作。

二○○九年六月份起，關山慈濟醫院首先開始建置資訊安全管理系統，更於二○○九年九月起，同步啟動花蓮、玉里、臺北、臺中、大林五院的建置工程。最早建置的關山慈院在同年 十一月十九日 首先順利通過資訊安全國際標準ISO27001:2005及國家標準CNS27001:2007的評鑑，其他五院也分別於 十二月十五日 至十八日陸續順利通過二項評鑑。短短的一個月內，不論是在都會區，或是戍守偏遠的東部，慈濟六家醫院不因規模與軟硬體的差異，全數以國際以及國家的資訊安全標準獲得評鑑委員無缺點的肯定。

評鑑主要為確保醫療機構對內對外資訊資產的機密性、完整性、可用性，以及在開發維護、資產、人力資源、通訊以及總資訊安全管理作業程序上的審核，因此共列了多達133項的安全性檢核，經過稽核員實地到慈濟六家醫院評鑑後，發現慈院醫療系統不但沒有缺點，並有多項正面發現；包括管理階層對資安的充分支持與參與、內部稽核與後續改善落實、資訊人員能力足夠、資產管理以工具控管落實，最重要的為資訊人員從自身做起，正面看待各種改善機會，有效控管智慧財產權及不當軟硬體使用，並且分工落實，有效降低風險，在短時間內建置資訊安全系統就展現初步成果，對於資安的後續發展規劃展現企圖心。

慈濟醫療志業執行長林俊龍表示，慈濟醫院一直朝向無紙化的綠色醫院邁進，所以很早就開始研發資訊系統，但最重要的必須先保護好病人來發展，這是目前慈濟各院以病人為中心的目標。

林俊龍指出，醫療院所強化資訊安全管理作業困難之處，在於拿捏作業方便性及資訊安全嚴謹度之間，需要智慧來衡量，同時使用者的操守等「人性」，更是電腦系統較難事先預測之處，此次六院在短時間內全數通過評鑑，資訊管理人員的能力和操守也備受肯定，代表慈濟醫療對於資訊的重視有初步的成果，慈濟六院是第一個通過這項專案的醫療體系，在資訊的發展也處於領先，不過「通過評鑑才是真正要面對資安挑戰之開始」，將來仍會持續努力落實資訊安全管理系統，朝向建構完整的電子病歷以及全面電子化的國際典範醫院邁進。