医管局承办商员工涉盗取病人资料 邱达根：核心系统采用最高标准防护

医管局日前发生资料外泄事件，5.6万多名来自九龙东医院联网的病人及少量员工的资料受影响。医管局资讯科技服务委员会主席邱达根今(17日)在电台节目表示，事件被定性为“盗取”，起因是一名外判系统承办商的开发人员，违反守则及合约规定，将病人资料非法下载至不属于医管局的电脑。局方已就事件报警，并采取多项高规格措施加强资讯保安。

事件定性为盗窃 暂停供应商权限

邱达根透露，事件的调查仍在进行中，但已明确将其定义为一宗“盗取事件”。周边系统的供应商管理出现漏洞，有个别人员非法下载资料。就此，医管局暂停所有供应商对系统的存取权限，同时，涉事的承办商将被禁止参与医管局未来的投标，直至厘清其内部责任为止。

医管局资讯科技服务委员会主席邱达根。资料图片

“周边系统”成漏洞核心

邱达根再三澄清，是次资料被盗取的系统并非医管局的核心企业资讯科技系统（CMS）他解释，医管局内有大量连接不同医疗单位及地区机构的系统，例如眼科使用的验眼机亦有机会储存病人的数据。此类系统运作时，需要从中央系统读取病人数据以核对身份。他指出，医管局对核心系统采用了最高标准的防护，但周边系统的维修保养，无可避免地需要第三方供应商接触硬件或数据，要依靠合约约章厘清所属权限。

紧急维修须在加强监察下进行

邱达根表示所有紧急维修工作，都必须在医管局的加强监察下进行。他阐述，以往外判商或可根据合约自行检查系统，但在此段非常时期，供应商必须先提出紧急维修申请。获批后，局方会考虑派员亲身监察，或对维修过程进行录影，确保过程中没有任何资料外泄的风险。他形容这是目前的权宜之计，接下来将会全面审视现行制度，包括与外判商签订的合约条款，确保当中清晰列明接触数据时的守则与责任。