卫生部控股董事经理吴弈源说,虽然制定与推行网络安全措施的都是同一批人,存有利益冲突的风险,但卫生部有设立一套机制确保问责。
调查新保集团黑客袭击事件的公开听证会,今天聚焦经营本地公共医疗机构的卫生部控股与综合保健信息系统公司(IHiS)之间的问责课题。
IHiS总裁连水木同时也是卫生部首席信息官,IHiS网络安全主管也是卫生部信息安全主要负责人。吴弈源供证时说,这是为了确保卫生部政策到了IHiS得到有效执行,卫生部也制定机制确保有效监管。
“卫生部针对网络安全问题作出重大决定后,会设下期限要求并不断跟进进展。”
吴弈源也说,卫生部首席信息官必须向卫生部常任秘书和网络安全理事会主席汇报工作情况,形成“双重监督”。
此外,吴弈源供证时也透露,他曾在今年6月公司内部的审计和风险委员会议中提出建议,指资讯科技系统持有人应该在管理网络安全风险时,采纳以风险为基础的处理方式。
他进一步解释,资讯科技系统持有人应优先考虑补救风险,前提是同时也要考虑公司资源、基础建设和操作限制,以及如果不能立即或在短期内解决风险,是否有其他补救方式等事项。
吴弈源指出,公司无法百分之百完全解决风险,而当公司补救了一定程度的风险后,若要继续补救解决剩余的风险,成本将高得不成比例。
我国今年中遭遇历来最大规模的网络袭击,黑客潜入新保集团数据库,盗取约150万名病人个人资料,其中16万人门诊配药记录被泄露,受害者包括李显龙总理与数名部长。
赞
