醫管局交代補救措施及長遠的改善方案。(林俊源攝)
醫管局九龍東醫院聯網日前發生資料外洩事故,一名30歲外判系統開發員非法下載及盜取5.6萬名病人資料,並上載至第三方平台。醫管局表示,正全面檢討事件,已即時收緊供應商的系統存取權限,如有緊急維修工作,需經局方特別審批,需在有人陪同下進行相關工作,過程亦會錄影。局方又指,倘調查後發現有人失職,將嚴肅處理和跟進。
警方早前以「不誠實使用電腦」罪拘捕一名30歲男子,他涉嫌未經授權下盜取5.6萬名病人資料,並在第三方平台洩露。醫管局總系統經理(資訊科技策略與企業架構)王昱表示,今次屬個別事件,相關供應商及員工違反專業操守和合約要求。他續指,涉事資料來自周邊系統,只包括有限個人識別資料,而不包括聯絡資料,事件與醫管局企業資訊科技系統無關,後者與供應商系統相互隔離。
王昱續指,事發後醫管局已即時採取數項措施,包括收緊存取控制,目前已暫停供應商的系統存取權限;若要進行緊急維修工作,須在加強監察下進行,過程中有人陪同,整個維護過程亦會錄影,亦會監察職員在出入期間是否有未經授權下取走病人資料。他又指,局方已考慮暫時禁止相關承辦商參與醫管局的投標。
此外,醫管局亦已進行緊急保安檢查,包括即時展開保安掃瞄及檢視,確保沒有漏洞;同時亦會24小時加強保安監察,確保沒有異常情況及敏感資料外洩的風險。
事件不涉黑客攻擊
醫管局資訊科技主管張淑英表示,事件不涉黑客攻擊,亦不涉及病人完整的醫療記錄。她表示,將會全面檢視不同方面的工作,包括不斷更新及完善系統,亦會檢視與承辦商的合約。她表示,若調查後發現有人失職,將會嚴肅處理。
醫管局資訊科技服務委員會主席邱達根指,會全面審視承辦商機制,並指對合約管理有清晰要求,包括接觸相關數據處理方法。醫管局資訊科技服務委員會委員林偉喬表示,相關的保護措施不夠嚴密,惟任何保安措施均按照系統風險作出安排,沒可能百分百安全,需要在資源運用、運作需要及保安需要三方面,取得最合理平衡。
王昱表示,醫管局致力保障資料安全及私隱,並持續推展長遠改善措施,包括全面檢視及提升供應商保安管理機制;持續提升系統保安及監察能力,強化系統存取控制、異常活動監測及預警機制,並持續提升全天候保安監察和應變能力,會以人工智能協助;另外會持續檢視資料存取、處理和傳輸安排,加強敏感資料保護,定期進行保安評估及演練,包括邀請第三方作保安評估,定時檢驗,並參與網絡安全演練。
ADVERTISEMENT
至抵會員價,名額有限,請火速訂位!
