醫管局本月初發生病人資料外洩事件,涉及逾5萬6千人受影響。醫管局資訊科技服務委員會主席邱達根表示,今次屬個別事件,是有一名外判服務商員工違反合約要求,涉嫌盜取醫管局病人資料,非法下載並非法上載至第三方平台,形容涉事外判服務供應商員工的誠信操守非常有問題,會考慮禁止相關承辦商參與醫管局的投標工作。他又說,明白外界關注事件,因應事件採取一系列措施,加強對第三方承辦商的管理。亦會全面審視與承辦方的合約關係。當調查完結後一定會嚴肅處理,若有任何責任要承擔,一定會跟進到底。
邱達根形容,醫管局對網絡安全、網絡保安一向都維持最高的安全標準,實施最嚴格的應用系統和數據保安的措施。他參與委員會6年以來,醫管局一直將系統安全放在最重要位置。而醫管局保安運作中心是全天候運作,保障醫管局數據安全。醫管局會繼續配合執法機構的調查工作,未來繼續加強資訊保安方面工作及加強與第三方承辦商的保安要求。
醫管局資訊科技服務委員會委員林偉喬表示,涉及病人所有資料的中央系統,保安非常嚴密,完全符合政府資訊保安要求。周邊系統受合約條款監管,與中央系統的保障不同。他解釋,資訊保安沒有百分之一百,而是按不同風險來管理,視乎系統重要性、有否敏感資料及實際風險作相稱的保安及防護安排。他形容做法是正常及務實的風險管理方法,令資源運用、運作需要及保安要求取得合理平衡。
醫管局總系統經理(資訊科技策略與企業架構)王昱指出,是次事件是承辦商涉嫌違反守則,醫管局短時間內已有特別措施,暫停所有承辦商非必要的維護的行為。若有系統需緊急維修,醫管局會有人員確保承辦商只完成維護工程,不會有任何非必要資料被取走,重申醫管局對承辦商有相關要求,未來會更加堅持有關做法,會因應不同醫療系統或儀器各自的維修程序,訂立監管制度,減低資料洩漏風險。
編輯:任順熙