2. 近來醫院個資外洩事件頻傳,身為醫療界最大龍頭,可以評估導入下列何項認證標 準,以強化健康醫療資訊的資安管控?
(A) ISO 13485
(B) ISO 27011
(C) ISO 27799
(D) ISO 27036

答案:登入後查看
統計: A(2), B(11), C(11), D(0), E(0) #3923626

詳解 (共 2 筆)

#7403484
第 2 題 正確答案: C 解析: IS...
(共 187 字,隱藏中)
前往觀看
2
0
#7421831

這題的正確解答是 (C) ISO 27799

近年來醫療機構頻繁發生病患個資(電子病歷、個人健康紀錄)外洩事件,身為醫療界龍頭,最需要針對健康醫療資訊(PHI, Personal Health Information)進行專門的資安風險管控與隱私保護。

以下為您詳細說明各個選項的標準定義與原因分析:

正確答案分析

  • 解題關鍵:(C) ISO 27799 (健康醫療資訊安全管理指引)

    • 核心原因:ISO 27799 是國際標準組織(ISO)特別針對醫療照護產業所制定的資訊安全管理標準。它是基於通用的資安標準 ISO 27002 做延伸,專門為保護「個人健康資訊的機密性、完整性與可用性」提供實務指引。

    • 適用點:它涵蓋了醫療環境中特殊的資安需求,例如:醫事人員的存取權限控制、電子病歷傳輸安全、醫療儀器設備的資安管控等。因此,醫療龍頭導入此標準,能最精準地防範醫療個資外洩,符合法令法規。

其他選項原因分析(為何不選?)

  • (A) ISO 13485 (醫療器材質量管理體系)

    • 原因:這是針對醫療器材製造商、設計與研發供應鏈的質量管理標準(類似醫療器材版的 ISO 9001)。它關注的是醫療器材的安全性與有效性,而非醫院內部的「資訊安全管理與個資防護」,因此不適用於解決個資外洩問題。

  • (B) ISO 27011 (電信組織資訊安全管理指引)

    • 原因:這同樣是 ISO 27002 的行業延伸標準,但它的專屬對象是電信產業(Telecommunications)。主要用於規範電信運營商、通訊網路服務商的資安防禦,與醫療機構的健康個資管控完全無關。

  • (D) ISO 27036 (供應鏈關係資訊安全管理)

    • 原因:這個標準主要在規範組織與第三方供應商(如雲端服務商、外包商、軟體開發商)之間的合約與資訊安全風險管控。雖然醫院確實會把系統外包,導入此標準有助於控管廠商,但它屬於通用型的供應鏈資安標準,缺乏對「健康醫療資訊(PHI)」與「醫院內部醫療流程」的專屬針對性,故非最優先、最全面的醫療控制首選。

? 總結

醫院要強化「健康醫療個資」的管控,最佳解就是選擇專為醫療業量身打造ISO 27799。在實務上,通常會以 ISO 27001(資安管理系統)為基礎架構,並搭配 ISO 27799 的控制措施來落實醫療情境的隱私保護。

1
0

私人筆記 (共 1 筆)

私人筆記#8243014
未解鎖
正確選項解析:ISO 27799 的全...
(共 657 字,隱藏中)
前往觀看
1
0