本研究嘗試以ISO27001資訊安全評核規範中11大管控項目為內容，包含133項控制措施，實施問卷調查，並結合HIPAA法案中資訊安全管理的規範建議，提供醫療院所推行資訊安全的參考。

研究背景是因為隨著電腦資訊科技的發達，醫療產業在日常生活的運作使用了許多不同的資訊系統，醫療院所進行相互間的資料交換已經是時代的趨勢，醫療衛生機構不斷的使用電腦與網路來增加工作的績效。研究目的希望導入ISO27001標準後，可藉由HIPAA對於資訊安全的標準與ISO27001資訊安全管理系統概念與實務的評估，讓醫療院所可以針對資訊安全架構做好完善的準備與應用。

研究方法以ISO27001資訊安全評核規範為基礎且結合了HIPAA法案中資訊安全的規範，並利用ISO27001的11大管控項目為內容，包含133項控制措施實施問卷調查法為主要資料蒐集的研究方法，並以文獻資料法及訪談法為輔，瞭解目前國內地區醫院等級以上之醫療院所資訊安全推動現況，最後利用Excel歸納出組織內部人員造成資訊安全事件發生問題之因素，並藉由ISO27001資訊安全評核規範之要求，以提供因應策略，建議地區醫院等級以上之醫療院所改善現況或建立資訊安全管理系統，以期未來全面推廣至各醫療體系，建置出更符合資訊安全國際標準的環境，事先防範資訊安全危機的發生。

本研究發現目前各醫療院所雖已推動資訊化，但由於資訊安全政策沒有落實到其他部門員工，所以導致資安事故時有發生，應加強員工資訊安全教育，並且醫療院所應加強應變計畫與意外因應規範的擬定與演練，並落實醫療院所內資訊資產的風險分析與風險管理的工作。

This research tries to assess the project as the content with 11 items in the norm of accessing of information security ISO27001, included 133 controlling measures, implement questionnaire, the norm of the information security management is proposed to accord with HIPAA bill, offering the reference of the information security to the medical treatment.

With the development of computer information science and technology, the operation in daily of medical industry has used a lot of different information systems. It is the trend at the time today that the medical institute could exchange the mutual materials. The medical health organ uses the computer and network to increase the performance at job constantly. After studied the purpose, hope to involve into ISO27001 standard, but with the assessment of the HIPAA standard, administrative system concept of ISO27001 information security and practice to the information security, in which enable the medical institutes to make a good preparation in perfect to the structure of information security and application.

The approach of research takes criteria of security deeply as the foundation and combined the norm of the information security in HIPAA bill with ISO27001. Applied 11 items ISO27001 to appraise project as content, it included 133 controlling measures implement of questionnaire’s method for main research approach to the materials collecting. And the subsidiary that is to establish the law of document and material, and interview, and then understanding the domestic information security of the higher level medical institutes carrying out at present situation. Using Excel to sum up and to organize the internal personnel has the practical factor that is about the problem in the incident of information. Accessing the normal demand by ISO27001 message is safely. In order to offer it in conformity with the strategy, proposing the higher level medical institutes is to improve the present situation or set up the administrative system of the information security. The hope is according with the environment of the international standard’s information security that the medical institutes' construction in the future to set out. It will take precautions against the emergence of the crisis of information security in advance.

It has been found that although all medical institutes at present have already promoted the informationization, but the policy of information security has not implemented the staff of other departments. It produced the fact that Ann's accident of the money happened occasionally, so there should strengthen staff information security education, and medical institute should plan with accident. Owing to it in conformity with the draft with drilling norm to meet an emergency will be strengthen, implement information assets’ risk analysis and work of risk management in medical institutes.

[1] 古政元，”資訊安全管理模型初探 – 根基於ISO/IEC 27001:2005(E)”，
醫療體系資訊安全系統研討會，p.65~p.68，民95。

[2] 張永翔，”結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究”，銘傳大學資訊管理學系碩士在職專班碩士論文，民94。

[3] RSA Security公司，”符合HIPAA在安全性及電子簽章方面的要求”，
http://www.rsasecurity.com，2006年5月。

[4] 國立暨南國際大學，“美國HIPAA資訊安全資訊安全規範”，
http://ccop.cc.ncnu.edu.tw:8088/documents/regulations/HIPAA_Act.htm，2006年4月。

[5] 黃興進，”醫療資訊安全之運用與探討”，醫療體系資訊安全系統研討會，p.5~p.23，民95。

[6] 鄭美雅，”取法HIPAA 落實醫療資安防護“，資安人科技網 http://www.informationsecurity.com.tw/feature/view.asp?fid=146，2006年5月。

[7] 鍾育恆，”認識ISO國際標準之旅：台北市信義社區大學與ISO“，
http://www.bamboo.hc.edu.tw/course/session10/syllabus/sociology/92b-2105.html，2006年6
月。

[8] 染化資訊網站，”ISO介紹”，http://www.dfmg.com.tw/masp/standard/st02.htm，2006年6月。

[9] 翁嘉頎，”淺論 BS7799 與 ISO27001”，網擎資訊軟體股份有限公司網站http://www.openfind.com/taiwan/epaper/20060410/#03，2006年5月。

[10] 侯皇熙，”植基於BS7799探討政府部門的資訊安全管理-以海關資訊部門為例”，國立成功大學工程科學研究所碩士論文，民93。

[11] 考選部網站，”考選部資訊安全政策”， http://wwwc.moex.gov.tw/ct.asp?xItem=3375&CtNode=2070，2005年2月。

[12] 蒲樹盛，”ISO/IEC 17799 : 2005 & BS7799-2 : 2005 新版標準及驗證摘要說明”，BSI英國標準協會台灣辦事處，民94。

[13] BSI英國標準協會網站，”關於BSI英國標準協會”，http://asia.bsi-global.com/Taiwan+About/index.xalter，2006年5月。

[14] 聯凱國際資訊網站，“資訊安全簡介”，http://www.linkmedasia.com/training/training-HIPAAcourse-intro.html，2006年5月。

[15] BSI，”Information technology-Security techniques-Information security management security management systems-Requirements”，BS ISO/IEC 27001:2005。，2006年6月。

[16] 曾亦苓，”「疾病與文化」課程調查問卷之信效度分析”，生命的認知尊重與實踐教學與成果研討會網站，http://www.life-respect.tcu.edu.tw/fruition/90fru/fru_p2.htm，2006年6月。