病人資料外洩　醫管局收緊所有供應商存取權

【大公報訊】記者王亞毛報道：醫院管理局九龍東醫院聯網於本月初發生病人資料外洩事件，逾5.6萬人受到影響。醫管局昨日表示，現已即時收緊所有供應商的存取資料權限，並考慮禁止涉事供應商參與醫管局投標，強調涉事的是周邊系統，而非管有病人所有資料的中央系統。

擬禁涉事供應商參與投標

醫管局於本月3日向警方報案，懷疑有人未經授權取走病人及醫管局員工資料，再上載到論壇供人下載，案件共涉及約5.6萬名病人及1000多名員工的資料，包括姓名、性別、香港身份證等。警方早前拘捕醫管局外判承辦商一名30歲系統開發員，涉嫌以不誠實意圖取用電腦。

外界關注醫管局的資訊科技系統是否足夠，醫管局昨日召開傳媒簡介會說明，強調轄下系統的數據有加密，有保安中心24小時監察系統運作，跟系統各承辦商的合約條文，有參考數字辦的指引。

醫管局總系統經理（資訊科技策略與企業架構）王昱表示，此次屬個別事件，有關供應商及員工涉嫌違反專業操守和與醫管局的合約要求，而有關資料是在系統維護期間，被供應商支援人員非法下載及盜取，相關涉事資料來自周邊系統，主要用作支援手術的文書工具系統，只包含有限個人識別資料，不包括電話、地址等聯絡資料。他又表示，事件與醫管局企業資訊科技系統無關。

醫管局資訊科技服務委員會委員林偉喬表示，涉及病人所有資料的中央系統保安非常嚴密，不過此次涉及的周邊系統與中央系統的保障不同，他解釋，資訊保安難以達到百分之百，一定要依照不同風險去管理，包括系統有多重要、有否敏感資料，按照實際風險作相稱的保安及防護安排，相信該做法是正常及務實的風險管理方法，可在資源運用、運作需要及保安要求之間取得合理平衡。

若緊急維修須有人陪同或錄影

醫管局資訊科技服務委員會主席邱達根表示，醫管局在事件發生後已即時採取措施，包括收緊存取控制，暫停所有供應商的系統存取權限，若涉及緊急維修工作時，須有人陪同或錄影，在加強監察下進行，醫管局亦考慮暫時禁止相關承辦商參與醫管局的投標。同時醫管局未來將加強對供應商的保安要求、監督和定期檢視，並引入自動化、人工智能等技術，強化系統存取控制及異常活動監測及預警機制，並定期進行第三方的保安評估及演練。