SafeNet 以曾輔導國內外醫療機構保護各項健康資料的經驗指出，健康資料不應只以加密型態保護。

對所有醫療院所來說，就屬電子病歷等健康資料最為珍貴，而多數的醫療院所的保護之道是直接以資料加密的方式、防堵資料遭竊取、或不慎外洩。對此，SafeNet 亞太區資深資訊安全顧問伍尚池提出另外一套看法。基於健康資料散佈在四處，如醫護人員使用的桌上型電腦 (DT)、筆記型電腦 (NB)、應用系統、伺服器與儲存設備等，以及電子病歷講求的是可以分享等因素，醫療院所應採行以健康資料為中心的保護機制，亦即建立一套可以從資料在系統產生到被使用的資料保護手法。伍尚池認為，實現上述機制的做法是：醫療院所同時以加密、身分識別管理與金鑰管理等 3 個機制來管控健康資料。

以身分識別管理為例， SafeNet 曾協助澳洲的醫療機構布署雙因子認證機制，以確保病患的醫治紀錄不會陷入被人惡意竄改、竊取等窘境。「健康資料的保護工作不應只做到機密性保護，還必須能允許使用者存取資料、保護資料遭到非法竄改，以及任一方都無法否決其對健康資料採取的處理、或作業。」他建議醫療院所依造資料生命週期 -- 身分識別、異動處理、資料儲存、資料存取與使用、資料共享與移動--進行管理。伍尚池進一步說明道，醫療院所可透過認證技術落實使用者身分識別、保護應用程式與伺服器，並且確保異動處理中的資料是有被完善保護的、沒有被非法竄改的；另透過加密機只維護檔案、資料庫與其他儲存媒介裡的資料安全性，並以管控技術對資料存取進行稽核與監控。「最後則是確保資料在移動中是有被保護的。」他補充說道。

除了依造資料生命周期擬定對應的保護機制外，伍尚池表示根據遵循資料法規、保護異質資料，以及打造整合式平台等3點亦極重要。他解釋某些法規要求資料擁有者必須長期的保存資料，在這樣的狀況下，醫療院所的科技決策必須和電子化醫療程序匹配，並且持續的透過日誌紀錄與稽核、監控等手段，以確保資料的完整性。至於在意職資料保護這件事上，伍尚池則建議醫療院所透過布署加密、金鑰管理，以及可跨越資料庫／應用程式／網路／終端裝置的極中化管理等機制，打造出一個可以保護以行動、靜止與跨網路存取等型態呈現的資料。「整合式平台則是指，醫療院所必須為未來設想，建立可以支援、管理新型態資料類型的系統平台。」伍尚池說。

鑒於各個醫療院所需要、欠缺的資料保護機制不同， SafeNet 針對資料生命週期的各個關鍵點提供對應的安全解決方案。例如可用來識別使用者身分的身分認證軟體、可用來保護散落在桌機與伺服器等異質系統的安全防護裝置，以及可用來監控資料分享過程與異動處理過程的監控產品等。

資料來源 : http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?CnlID=13&Cat=&Cat1=&id=177512