- 作者 | Sonia Tsai
醫療數據的法規遵循,Log 管理為醫療保健系統建立資訊防護網
西澳大利公共衛生疫情整合系統 ( PHOCUS ) 近日出現爭議,稽核單位提出該系統過去2年間敏感且重要的資料、數據,未受到審慎的保護,它為外部供應商提供了非必須的系統訪問權限,且也未充分記錄及監控訪問日誌,導致資料可能受到侵害。隨後負責的西澳衛生單位 ( WA Health ) 雖也積極公開回應,卻也可能已在大眾心中產生了疑慮。西澳稽核單位也鄭重要求該單位需妥善保護 PHOCUS 內的資料,並符合 1988 年英聯邦隱私法,增加大眾對政府的信心與信任。
如上所述的案例,各國也陸續提出相關法規確認個人資料安全,如歐盟的GDPR,就成為歐洲各國對個資保護的最高指導原則,其中的關鍵就是政府或企業對 Log 的管理,根據 Research And Markets 的預測報告,Log 管理市場預計年複合成長率將近 10.82% ,促使成長的主因之一為醫療保健和金融服務業 ( 包含銀行與保險 ) 等,這些擁有大眾個人資料的單位,更需要被監管即符合法規。而醫療產業的法規,不得不提到1996年美國頒布的健康保險隱私及責任法案 (HIPAA, Health Insurance Portability and Accountability Act),而在我們深入探究 Log 管理與 HIPAA 合規間的關聯之前,讓我們針對該法案部分條款進行進行理解,以了解相關法規如何影響 Log 管理策略。
符合 HIPAA 的日誌管理
HIPAA 制定了一系列關於醫療行業必須維護健康數據安全和隱私,要求針對相關資訊採取保障措施,如訪問權管控、加密通訊、事件記錄和詳細設備配置文件之書面記錄,冀以期待美國醫療保健系統的效率和有效性,並將其遵循 HIPAA 之記錄提供給政府以評估合規性。而在 2010 年法案的增訂保護健康資料條款,要求為每筆醫療紀錄進行稽核追蹤,詳細規定了醫療機構處理病人資訊的規範以及保密原則,且於組織內處理這些訊息的部門需有專用的 IT 基礎架構和策略。HIPAA 中的這些規定,反映出全天候保留紀錄及行為軌跡的重要,而這些都是日誌管理系統發揮功用的地方。
延伸閱讀: 智慧醫療與長期照護
Log 管理於醫療保健產業的應用
Log 自動蒐集及儲存
根據 HIPAA 要求需確保日誌數據保留六年,因此,醫療保健組織需要一個解決方案來收集和儲存這些每分每秒所產生的 Log,而大多數的 IT 環境中包含各種設備和系統,企業或組織也必須解決檔案分散且無法集中管理問題,所以透過一個集中化的管理平台妥善彙集,將日誌數據壓縮儲存,以解決日誌收集問題,像是網通設備、作業系統、HTTP Server、Data Base,且支援格式也必須多元如 Syslog、Error log、Event log、JDBC 等,絕對是可以一勞永逸解決類似HIPAA要求的方法。
若您想了解更多資料高可用性、冷、熱資料處理等來提高運作效能,歡迎進一步聯繫我們。
登入控管權限與即時告警
組織中也須針對系統進行內、外部控管,這也意味著在醫療組織的 IT 環境中需要具有針對訪問權限、系統運作等各種事件發生,有即時偵測異常及應對時即時進行告警的機制,其監控項目可以包含CPU、Heap、Disk、DB Connection及其他自訂關鍵字項目等,並透過 Log 管理平台透過 Alert API 介接進行告警發送,發送方式可以是 Email、Line或SMS。
與此同時,組織也必須記錄遵循 HIPAA 之數據,以證實符合法規,因此 Log 管理平台也就必須具備強大的報告分析功能,提供給稽核單位審查或是 IT 維運人員日常查閱,針對使用者的需求,以各式報表來解析並呈現出相關的數據和圖表,由視覺化監控目標狀態,如heart beat、memory、CPU及thread pool 等 server 健康狀態,更可提供如登入平均時間、數據流量分佈,以及Log 交叉比對分析等進階報表。
Log 管理策略帶來合規優勢
隨著智慧醫療、遠距醫療等應用發展,醫療保健組織導入數位化及電子化各式系統之際,應運而生的是每分每秒所產生的大量 Log 資料,主要仍需依靠 IT 費力維運,而海量資料若透過適當的 Log 管理平台,進行日誌收集、儲存、分析和報告的管理流程,不僅能協助解決醫療資料保護法規的挑戰,也保障資訊安全,更能高效運用數位軌跡以達到服務不中斷,提升營運效能。
digiLogs 一站式管理平台 為技術愈趨複雜的醫療保健組織提供 Log 管理策略,如果您想了解更多日誌管理應用或解決方案,請聯繫我們。
延伸閱讀: Log 管理策略:企業不可忽視的資安防護第一步