醫管局早前發生病人資料外洩事件,逾5.6萬名病人及少量員工的個人資料被盜取並於暗網論壇發放。局方強調,事件不涉及黑客攻擊,亦不包含病人完整的醫療紀錄、醫療影像及聯絡資料,並已即時採取多項措施加強系統防護。
醫管局早前發生病人資料外洩事件。
醫管局總系統經理(資訊科技策略與企業架構)王昱表示,局方高度重視事件,並會嚴肅處理。他指出,事件屬個別事件,涉及供應商及員工涉嫌違反專業操守和與醫管局的合約要求。有關資料是在系統維護期間,被供應商涉嫌非法下載及盜取。涉事的系統為由承辦商開發及負責維護的支援手術文書系統,只包含有限個人識別資料,事件與醫管局的核心企業資訊科技系統無關。
醫管局資訊科技主管張淑英補充指,事件不涉及黑客攻擊,亦不涉及病人完整的醫療紀錄。洩露的個人資料包括姓名、身份證號碼、性別、出生日期、醫院編號、預約日期以及健康資訊,但不包括聯絡資料。局方會不斷更新及完善系統,全方位檢視合約,以嚴密保障私隱。
醫管局表示,正就事件進行全面檢討,
醫管局表示,正就事件進行全面檢討,並已即時採取措施,包括全面檢視及提升供應商保安管理機制,以及強化系統異常活動監測及預警機制,以確保沒有其他漏洞。局方致力保障資料安全及私隱,並將持續推展長遠改善措施,包括:
- 持續提升系統保安及監察能力,強化系統存取控制、異常活動監測及預警機制。
- 提升全天候保安監察和應變能力,並會以人工智能(AI)技術協助。
- 持續檢視資料存取、處理和傳輸安排,加強敏感資料保護。
- 定期進行保安評估及演練,包括邀請第三方協助審計系統。
