資訊安全管理架構(gòu)設(shè)計課件

資訊安全管理架構(gòu)設(shè)計:以TMT電子病歷為例瞻前顧後醫(yī)療資訊系統(tǒng)架構(gòu)就診處理流程醫(yī)生囑咐(醫(yī)囑)病歷電子病歷(標準化)

TMT電子病歷XML格式跨醫(yī)療機構(gòu)的醫(yī)療資訊醫(yī)療資訊交換目的醫(yī)療資訊交換協(xié)定醫(yī)療資訊系統(tǒng)安全管理確保隱私權(quán)確保CAI身分驗證機制HCA醫(yī)療系統(tǒng)安全實作專題個案報告重要資料(Information):就醫(yī)情況角色身分(People):醫(yī)師病患管理者處理流程(Businessprocess):角色識別及存取權(quán)限3/21王大為教授隨堂測驗何謂HIPPA?何謂CAI?Whatisanaddressableimplementationspecification?Whydotheyclassifytheimplementationspecificationintorequiredandaddressable?醫(yī)療系統(tǒng)安全成績計算方式學期成績=系外六位教授隨堂測驗*10%(60%)+

期中考(醫(yī)療資訊安全)*20%+

醫(yī)療系統(tǒng)安全實作專題個案報告*20%系外北醫(yī)副院長劉立教授

長庚醫(yī)院何國豪特助

鉅仁彭振興博士演講總經(jīng)理劉興華博士工研院葉怡鎮(zhèn)博士中研院王大為博士本系陳昱仁教授 蔡榮隆教授醫(yī)療系統(tǒng)安全醫(yī)療系統(tǒng)安全概論(陳昱仁教授)資訊安全技術(shù)在醫(yī)療系統(tǒng)應(yīng)用(陳昱仁教授)醫(yī)療資通安全政策規(guī)範:以病人隱私權(quán)與「電腦處理個人資料保護法」為例美國健康保險可攜性及責任性法案（HIPAA）:(中央研究院資訊所王大為博士)資訊安全管理架構(gòu)設(shè)計:以TMT電子病歷為例數(shù)位簽章技術(shù)於醫(yī)療產(chǎn)業(yè)之應(yīng)用與探討(鉅仁彭振興博士演講)PKI在醫(yī)療資訊安全設(shè)計—以衛(wèi)生署「醫(yī)療憑證管理中心」機制為例(總經(jīng)理劉興華博士)醫(yī)療資訊安全之資料分級分類與複合式病歷資訊安全管理系統(tǒng)設(shè)計(工研院葉怡鎮(zhèn)博士)醫(yī)療企業(yè)整合標準資通安全模組分析與運用WS-Security設(shè)計醫(yī)學安全系統(tǒng)期中考以XKMS設(shè)計密鑰管理系統(tǒng)以SAML設(shè)計安全互通機制例如單一登入(singlesign-on)使能跨臺使用以XMLSignature和XMLEncryption確保醫(yī)療資訊安全可延伸存取控制標記語言(eXtensibleAccessControlMarkupLanguage,XACML以醫(yī)療角色建置電子病歷資通權(quán)限管理設(shè)計(臺北醫(yī)學大學副院長劉立博士)醫(yī)療資訊系統(tǒng)安全:以長庚為例(長庚醫(yī)院何國豪特助演講)全國醫(yī)療資訊網(wǎng)(NHII)資通安全應(yīng)用:以長期照護系統(tǒng)為例醫(yī)療系統(tǒng)安全個案研究實作報告醫(yī)療系統(tǒng)安全成績計算方式學期成績=系外六位教授隨堂測驗*10%(60%)+

期中考(醫(yī)療資訊安全)*20%+

醫(yī)療系統(tǒng)安全實作專題個案報告*20%系外北醫(yī)副院長劉立教授

長庚醫(yī)院何國豪特助

鉅仁彭振興博士演講總經(jīng)理劉興華博士工研院葉怡鎮(zhèn)博士中研院王大為博士本系陳昱仁教授 蔡榮隆教授4次「邀請演講」成果表及1次「企業(yè)參訪」

每次兩位撰寫者每位額外加學期成績5分*****有意者向助教報名5/2期中考(醫(yī)療資訊安全)醫(yī)院資訊系統(tǒng)規(guī)範2.0醫(yī)療資訊管理學p159p189PKI與WebServicesSecurity標準與應(yīng)用研究WS-Security應(yīng)用註解SOASecurityinAction瞻前顧後瞻前資安技術(shù)醫(yī)療資訊系統(tǒng)架構(gòu)隱私權(quán)及HIPPA顧後數(shù)位簽章技術(shù)於醫(yī)療產(chǎn)業(yè)之應(yīng)用與探討(醫(yī)療資安)PKI在醫(yī)療資訊安全設(shè)計—以衛(wèi)生署「醫(yī)療憑證管理中心」機制為例(資安醫(yī)療)醫(yī)療資訊安全之資料分級分類與複合式病歷資訊安全管理系統(tǒng)設(shè)計(電子病歷安全機制)CoreSecurityTechnologiesSymmetricencryptionAsymmetricencryptionXMLEncryptionHashfunctionsXMLDigitalSignatureDigitalcertificatesSevenISOSecurityRequirementsIdentification:whoareyou?Authentication:howdoIknowyouridentityistrue?Authorization:areyouallowedtoperformthistransaction?Integrity:isthedatayousentthesameasthedataIreceived?Confidentiality:arewesurenoonereadthedatayousentme?Auditing:recordofalltransactionssowecanlookforsecurityproblemsafterthefactNon-repudiation:bothsenderandreceivercanprovidelegalprooftoathirdparty(e.g.judge)thatthesenderdidsendthetransaction,andthereceiverreceivedtheidenticaltransaction1.IdentificationTherecipientofamessageneedstobeabletoidentifythesender.2.Authentication

Therecipientofamessageneedstoverifythattheclaimedidentityofthesenderisvalid.3.Authorization

Therecipientofamessageneedstodeterminethelevelofthesender’ssecurityclearance.Thiscanrelatetowhichoperationsorwhichdatathesenderisgrantedaccessto.2.Integrity

Amessageremainsunalteredduringtransmission,upuntilactualdelivery.

5.Confidentiality

Thecontentsofamessagecannotbeviewedwhileintransit,exceptbyauthorizedservices.

醫(yī)療資訊安全與隱私保護-1

全球電子化時代的來臨，衝擊著健康產(chǎn)業(yè)整體的結(jié)構(gòu)與系統(tǒng)，當生命議題面對即時性、互動性的電子化時代得以提昇品質(zhì)並降低成本的同時，如何建立安全的網(wǎng)路交易環(huán)境以確保生命資料在網(wǎng)路傳輸過程不遭受偽造、竄改，同時保障個人生命隱私權(quán)利等問題，除了技術(shù)面之因應(yīng)考量外，相關(guān)法令規(guī)範、作業(yè)流程等內(nèi)容皆須嚴謹?shù)闹贫ā⒃u估與探討。美國在1974年國會推出隱私權(quán)法後，陸續(xù)於1986年推動電子通訊隱私權(quán)法、1987年電腦安全法、1991年通訊消費者保護法，直到1996年8月由柯林頓總統(tǒng)任內(nèi)通過重要醫(yī)療保險法案-健康保險可攜性及責任性法案（HealthInsurancePortabilityandAccountabilityAct-HIPAA），電子化對於健康產(chǎn)業(yè)的影響才真正備受矚目?！羔t(yī)療保險轉(zhuǎn)移和歸責性（HIPAA）」為規(guī)範資訊之安全性與機密性，以達到個人醫(yī)療隱私需求，美國聯(lián)邦政府於1996年通過HIPPA醫(yī)療安全條例，主要是針對個人醫(yī)療的資料安全、隱私以及資料交換定出醫(yī)療資訊管理的標準，明定關(guān)於醫(yī)療保健行業(yè)所必需具備的資訊安全內(nèi)容，目的在於確保醫(yī)師的診斷與處方籤的開例等醫(yī)療行為到所有醫(yī)療測試紀錄等等的所有醫(yī)療資料的完整性與安全性之外，而達到全方位的病人看護醫(yī)療品質(zhì)的提昇。HIPPA醫(yī)療安全條例涵蓋在美國境內(nèi)所有與健康醫(yī)療行業(yè)相關(guān)的每一個領(lǐng)域，從醫(yī)師的個人辦公室、醫(yī)院、醫(yī)療系統(tǒng)、醫(yī)療支援服務(wù)等。因此，所有從事與醫(yī)療健康有關(guān)的人員皆受此一條例的規(guī)範。其所影響的範圍相當廣泛，包含相關(guān)健康計畫、雇主、公立健康醫(yī)療單位、醫(yī)院、人壽保險、情報交換所、帳務(wù)處理公司、資訊系統(tǒng)供應(yīng)商、服務(wù)組織以及大學等等。HIPAA架構(gòu)HealthInsurancePortabilityandAccountabilityAct(HIPAA)--1996TITLEIHealthCareAccess,PortabilityandRenewabilityTITLEIIPreventingHealthCareFraudandAbuseTITLEIIITaxRelatedHealthPlanProvisionsTITLEIVApplicationandEnforcementofGroupHealthPlanRequirementsTITLEVRevenueOff-Sets確保醫(yī)療保險之可進性、益使用性及延續(xù)性防止醫(yī)療照護浮報與濫用醫(yī)療保險稅率減免強制團體納入醫(yī)療計畫法規(guī)收入補償法規(guī)管理單一化AdministrativeSimplificationPrivacy隱私權(quán)Security資訊安全EDI電子資料交換TransactionCodeSetsIdentifiers醫(yī)療資訊安全與隱私保護-2

由研究來推動電子化醫(yī)療資訊應(yīng)用法制環(huán)境之建構(gòu)，以確實保障醫(yī)療資訊的安全及私密性，並透過適時的宣導，期能降低民眾對於醫(yī)療資訊電子化的疑慮。激發(fā)其關(guān)心與瞭解未來健康產(chǎn)業(yè)可能的動向與因應(yīng)之道。從社會面、法律面、管理面、技術(shù)面、標準面與實務(wù)面等探討醫(yī)療資訊安全與隱私保護等相關(guān)議題內(nèi)容將純粹以醫(yī)療實務(wù)和社會演化趨勢等不同觀點進行深度探討，並構(gòu)築醫(yī)療資訊安全與隱私之規(guī)範，以提供醫(yī)療院所和一般大眾對於醫(yī)療資訊發(fā)展之省思。InformationSecurityPurposesConfidentialitytheabilitytorestrictthereleaseofinformationtothoseauthorizedtohaveitIntegritytheassurancethathealthinformationhasnotbeenalteredmaliciouslyorinadvertentlyAvailabilityaccesstoinformationinfaceofunexpectedeventssuchassystemfailure資訊安全管理機制3.資訊資產(chǎn)

9.營運持續(xù)管理(BCP)10.遵循(compliance)2.

組織8.系統(tǒng)開發(fā)與維護5.實體與環(huán)境安全

4.人員

6.通訊與操作7.存取控制1.資訊安全政策目標:

保密Confidential,完整Integrity,可用Availability電子病歷的隱私與安全電腦技術(shù)、工具及作業(yè)平臺成本操作方便隱私資料安全大眾期待法規(guī)制度SecurityGoalsandRequirementsThereisnosuchthingasabsolutesecurityTherearerisksandcountermeasurestoaddresstheserisksNothingcaneverbeproventobe100%secureButwecanmakethecostofbreakingintoasystemmoreexpensivethanthevalueoftheinformationitcontainsSecurityrequirementsvarywithdifferentapplicationsThere'snouniversalchecklistTherearecommonrequirements,buttheymaynotallapplySecuritymustbebasedonstrong,openstandards

toensureinteroperabilitybetweenplatformsWeneedastandardthatsayshowthesesecuritystandardscanbeusedforWebservices瞻前顧後瞻前資安技術(shù)醫(yī)療資訊系統(tǒng)架構(gòu)隱私權(quán)及HIPPA顧後數(shù)位簽章技術(shù)於醫(yī)療產(chǎn)業(yè)之應(yīng)用與探討(醫(yī)療資安)PKI在醫(yī)療資訊安全設(shè)計—以衛(wèi)生署「醫(yī)療憑證管理中心」機制為例(資安醫(yī)療)醫(yī)療資訊安全之資料分級分類與複合式病歷資訊安全管理系統(tǒng)設(shè)計(電子病歷安全機制)數(shù)位簽章技術(shù)於醫(yī)療產(chǎn)業(yè)之應(yīng)用與探討數(shù)位簽章簡介XMLDigitalSignature數(shù)位簽章技術(shù)於醫(yī)療資訊系統(tǒng)之應(yīng)用使用者身份認證電子病歷簽章安全的資料儲存與傳輸應(yīng)用實例探討衛(wèi)生署電子病歷試辦推廣案(92年)-電子病歷索引中心疾病管制局防疫資訊交換平臺(95年)醫(yī)療院所推動醫(yī)事憑證應(yīng)用計畫(94年)本系統(tǒng)整合架構(gòu)之特色(1/2)UserCertificateManagement協(xié)助使用者管理憑證，含憑證更新、憑證失效通知建立使用者憑證歷史(certificatehistory)整合使用者名錄(directory)可整合人事系統(tǒng)，單一簽入(Single-Sign-On)機制AuthenticationService(使用者登入流程)提供以數(shù)位簽章為基礎(chǔ)的強力身份驗證服務(wù)簡化應(yīng)用系統(tǒng)複雜度降低應(yīng)用程式自行開發(fā)時，因不了解技術(shù)或步驟錯誤所造成的安全性風險加速單一登入(singlesignon)的導入SignatureValidationService(數(shù)位簽章流程)提供簽署醫(yī)療紀錄時所需的簽章驗證服務(wù)簡化應(yīng)用系統(tǒng)複雜度降低應(yīng)用程式自行開發(fā)時，因不了解技術(shù)或步驟錯誤所造成的安全性風險SignatureVerificationService(數(shù)位驗章流程)提供驗證醫(yī)療紀錄簽章時所需的簽章驗證服務(wù)簡化應(yīng)用系統(tǒng)複雜度降低應(yīng)用程式自行開發(fā)時，因不了解技術(shù)或步驟錯誤所造成的安全性風險本系統(tǒng)整合架構(gòu)之特色(2/2)可同時支援多種智慧卡安控原件可自動修補不同智慧卡間的加解密功能。適用多種憑證：提供多憑證管理功能：除HCA機制外，整合GCA(政府)、自然人憑證、…等憑證機制，以及國際知名CA：如Verisign

、…。彈性PKI必須能整合較為廣泛的軟體及硬體系統(tǒng)容易使用降低培訓、維護、系統(tǒng)設(shè)定、整合等作業(yè)成本可擴充性可擴充整合不同的智慧卡及CA互用性採用先進的業(yè)界標準、開放架構(gòu)、可支援多種系統(tǒng)平臺可解決無醫(yī)事憑證IC卡人員(員工/病人/民眾)之系統(tǒng)使用問題瞻前顧後瞻前資安技術(shù)醫(yī)療資訊系統(tǒng)架構(gòu)隱私權(quán)及HIPPA顧後數(shù)位簽章技術(shù)於醫(yī)療產(chǎn)業(yè)之應(yīng)用與探討(醫(yī)療資安)PKI在醫(yī)療資訊安全設(shè)計—以衛(wèi)生署「醫(yī)療憑證管理中心」機制為例(資安醫(yī)療)醫(yī)療資訊安全之資料分級分類與複合式病歷資訊安全管理系統(tǒng)設(shè)計(電子病歷安全機制)PKI在醫(yī)療資訊安全設(shè)計—以衛(wèi)生署「醫(yī)療憑證管理中心」機制為例PKI在醫(yī)