• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CSO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 產業瞭望

【醫療業】中山醫大附設醫院分享資通安全稽核試行經驗

2021-03-02
分類 : 產業瞭望
0
A A
0
1200 林政宏

資安法落實關鍵行業─醫療產業

中山醫學大學附設醫院分享去年試行稽核的作業過程,有助於醫療院所了解資通安全稽核作業實際的運行狀況。

採訪/施鑫澤 文/楊迺仁


為了落實資通安全法,許多公務主管機關紛紛展開資通安全稽核作業,希望能改善並強化資通安全防護工作的完整性及有效性,持續落實精進機關的資安防護水準。擁有許多機敏資料的醫療院所也不例外,中山醫學大學附設醫院資訊室主任林政宏在中區醫院資訊e聯盟研討會分享此次試行稽核的作業過程,有助於醫療院所了解資通安全稽核作業實際的運行狀況。

[ 下載 2020-21 CIO大調查報告,掌握2021年企業IT導入趨勢 ]

稽核作業時程規劃

林政宏表示,中山醫學大學附設醫院是從2020年六~七月開始準備,重點工作包括研擬稽核計畫、擇定受稽機關、稽核委員建議名單及稽核項目等事項。醫院的評鑑要求除了是以評鑑條文1.4.9為依據,原本依據的ISMS,現在則是以資通安全法為主,但因為此次稽核作業是以自評為主,並沒有所謂的過或不過,只是去評斷現在準備的成果,有沒有符合資通安全法的相關規範。

稽核團隊架構基本上除了會有一個領隊外,主要分成三個組,分別是策略面、管理面跟技術面,委員各自有2、2、3位,加上1個由外面資安廠商擔任的技術檢測人員,這三個組中會選派其中一位委員擔任主導稽核員,加上3名觀察員跟3名工作人員共有15人。

林政宏指出,稽核的準則範圍部分,一樣會參考ISO27001以及資通安全法,稽核範圍就是醫院的核心業務,包括HIS、PACS及EMR。在稽核開始之前,必須先填寫自評表,稽核人員會依據自評結果做稽核,判斷有沒有符合。

林政宏表示,因為過去沒有稽核評鑑的經驗,當初在填自評表時,確實會有點無所適從,而在詢問稽核團隊後,也得知2021年執行評鑑之前,會提供受評單位參考依據,未來或許就會有相關資料,減少受評單位的困擾。因為中山醫學大學附設醫院在自評時,因為時程比較趕,沒辦法按照條文逐條從頭寫到尾,所以基本上只是在自評表上註記已符合,然後針對為何符合做簡單說明。

[CIO都在讀: AI最常見的應用有哪些? ]

所以實際的評鑑過程,就是等到稽核團隊抵達時,再依照委員的詢問,再提出證明,實際的稽核時間從上午九點到下午五點半,足足進行了一整天。

林政宏表示,各構面稽核項目分策略、管理跟技術面,配分各自為30、30及40分,總分100分。評鑑主軸基本上還是類似 ISMS 的管理系統有效性驗證為主,所以稽核是要看管理機制,而非是否購買多高等級的防火牆、EDR。換句話說,也就是受評單位的說、寫、作有沒有一致,制定的辦法規定有無落實,有沒有留下紀錄可以追蹤,讓受稽的人員都能熟悉風險評鑑報告的整個循環。

相較於以前在評ISO27001時,主要是集中在醫院的HIS或機房的特定範圍,林政宏指出,未來的資通安全稽核會擴大到整個醫院。但由於有很多評鑑項目是各組的共同項目,所以場地安排建議在同一個大場地,以便人員相互支援。

由於各組會同時進行,時間上可能會衝突,所以同一項目最好要有兩人以上精熟,業務代理人至少了解其業務7、8成以上,或者知道文件記錄都在哪裡,不要想說全靠一個人。

策略面及管理面的稽核過程

策略面的稽核過程,林政宏表示會先找資安主管面談,接下來就會針對資安相關會議記錄及決議事項進行了解,看看會議都在討論什麼,以及決議的執行結果。另外,稽核團隊會去了解資安人力及資源的投入,如中山醫學大學附設醫院因為是A級單位,所以要有四個資安人員,其中一個必須是專職,給予的經費或人力有多少。

林政宏強調,稽核團隊非常看重受評單位的文件說寫做有沒有一致。也會針對網路架構及系統架構去重新瞭解,以及備援跟備份的策略,可能會同時問一兩個人,確認兩個人講的沒有一致,跟文件是否一樣。

管理面的部分,基本是以風險評鑑報告的檢視為核心,再加以擴散,一樣會詢問網路跟系統架構。林政宏表示,由於中山醫學大學附設醫院的系統是自行開發,所以委員會詢問到安全軟體開發生命週期(SSDLC),了解有沒有相關的辦法,然後有沒有辦法照實寫,開發、測試、線上主機有沒有做好分類及隔離。

[CIO都在讀: 所有企業都想要的12種CIO技能 ]

接下來是BCM/RTO/RPO/Backup,BCM的部分問的蠻仔細,還有當機演練及之後的資料回補怎麼做,資料是自動回復,還是需要人工去做回復。資安等級的部分會詢問,最近幾年有沒有發生資安事件,以中山醫學大學附設醫院而言,就曾發生過因為系統當機而造成服務中斷,委員就會進一步了解,中斷部分花了多少時間回復,後續是怎麼做,有沒有留下記錄,在委員會上面是如何呈報,有沒有報告會議記錄等,如果是比較嚴重的資安部分,還會問有沒有去做通報。

接下來就是做到「有說、有做,也要有辦法」。林政宏表示,以PC硬碟銷毀為例,每台電腦在報廢時都會把硬碟拆下來,然後在每年八九月,讓實習生拆完後在上面做破壞性處理,同時拍照存證。

林政宏指出,由於中山醫學大學附設醫院並沒有訂出相關的辦法,於是當時雖然有委員認為,用拍照留下記錄是個好現象,但也有委員認為,只有拍照卻沒有留下任何文字紙本記錄,也沒有在會議上做討論,這樣是不行的。所以委員在認知方面還是會有問題,如果有訂出相關的辦法,也許會比較好處理。

在委外廠商的管理跟監督方面,基本上大部分的PACS都是外包,林政宏表示,合約上面有沒有提供相關的資安條文,委外廠商有沒有每年定期做資安教育訓練,都會被問到。而在廠商連入的部分,以PACS廠商來說,會被問是透過什麼方式連進來?中山醫學大學附設醫院因為有在導入所謂的「特權帳號」,必須要經過醫院的特權帳號主機核可之後,才能連到特定的主機操作,相關的操作醫院都會把作紀錄,也都會錄影起來,還會設定起訖時間,委員並沒有什麼問題。

林政宏指出,每家醫院可能都會遇到的問題,就是屬於OT的部分,如很多CT或MRI的廠商,會直接建立一條自己的ADSL或4G網路,而不是透過醫院網路的防火牆,中山醫學大學附設醫院的規畫作法是,雖然對外的部分,也就是CT/MRI的主機不做管控,可是要連進來時,還是要透過醫院的核可之後,才能連到院內的系統,雖然這樣講委員可以接受,可是最後的改善事項還是被要求要儘快落實資安管理。

技術面的維運及檢測

在技術面方面,除了會再問網路跟系統架構,林政宏建議可能要準備兩組以上的人來應付委員提問,除了針對網路跟系統架構的維護問題外,AD、防火牆這些設備的帳號管理、登入登出的記錄,或是一些變更的紀錄,還有核心項目的架構檢視,包括HIS、PACS及WEB的部分,也都會被問到。

在主機的分類及隔離方面,病歷跟財務管理有沒有分區,或者是設備、防毒、SPAM的管理,這些都會問。還有電子郵件機敏資料的部分,假設傳遞一個包括病人基本資料的EXCEL檔案,有沒有加密再傳輸?然後傳輸的時候,密碼有沒有另外再送,這些都是需要注意的事項。

漏洞掃描的部分,核心業務每年都要自己掃描一次,至於社交工程方面,林政宏表示,因為醫院在三四年前就開始自己做社交工程演練,初期的結果相當蠻慘烈,只要提到錢、抽獎、禮品的主題,然後用人資室的名義發出去,很容易就會有人上鉤。因此在結束之後,都會針對這些上鉤的同仁,再要求去做教育訓練課程,相關資料都要準備得很齊全。

[CIO都在讀: 10個數位轉型成功案例 ]

授權軟體的管理跟應用也要注意,林政宏表示,醫院有一個安裝管理辦法,想要安裝都要寫申請單,核可之後才能安裝。在院外連回院內的應用管理方面,基本上還是要透過VPN,使用時一定要透過醫院的申請流程,核可之後才會給;log備份的部分,基本上是180天,Online的部分可以自己跟委員溝通,剩下的天數就會往後送,一樣就是要求要做到「有說有做,就要有辦法」。

維運的資料準備及表達,林政宏建議可以參考「FCAPS」。首先是錯誤管理,主機發生問題時,要怎麼去管理錯誤,後續有沒有留下記錄,後面的處理方式是什麼?其次是組態管理,如有沒有定期備份;第三個是帳號管理,如新增帳號有沒有留下記錄,如果某人已經離職,要怎麼知道該把哪個帳號刪掉;第四個是效能管理,你加了記憶體或其它東西時,有沒有申請之類的管理方式。最後一個是安全管理,技術面的稽核,基本上不外乎就是這五項。

技術檢測方面,林政宏建議,要先準備一條網路線,供技術人員接檢測筆電,還要準備MacBook用的USB網卡,過程會由外部廠商協助進行,他會提供三個Class C網段,去做掃描、滲透其中兩個,主要做的就是常見的一些重大更新部分,如RDP有沒有開,有沒有開分享資料夾,還有風險、帳號跟密碼檢測。

機房維運方面,會實際去看機房包括門禁、環控、消防、網路、監控、主機這些服務。林政宏建議,如果能用螢幕說明,效果會非常好,環境清潔剛好就好,不用太刻意。

善用開源自行檢測

結束之後就是要檢討建議或改善事項,如委外管理希望能納入契約範本。內稽的部分,則是要做好相關的法遵,除了要照ISO 27001或是管理辦法去做外,未來內稽時也要納入資通安全法的策略面、管理面跟技術面。林政宏指出,內稽稽核到的事情,要設法在規定的時間內去做提案,因為內稽完之後,可能要隔一段時間才能把文件準備好,然後簽名蓋章提案,這些要確實做好,還要造冊追蹤,不能說提完了,然後報告出來,然後就沒事,後面還有很多事情要做。

另外要注意的地方是,有些委員可能覺得是優點的地方,有些委員還是會覺得不足,未來稽核單位應該會統一標準,但林政宏指出,如果受評單位有制定辦法就依照辦法來做。此外,雖然核心業務全部都要做,但不管是做弱掃或是滲透,都會花費不少成本,所以可能還是要評估一下要怎麼做,畢竟經費有限,要怎麼去做到資通安全法的要求,需要好好思考。

技術檢測的部分,林政宏認為就是直接列出實際的結果,所以有些問題如風險密碼能改的話就把它改掉,勒索病毒跟RDP跟SMB漏洞有關,所以能關就儘量關。OT的部分會比較強調資產盤點,還有預設密碼及連線維護的部分,有些儀器設備如血糖機,因為有些病人會自己帶,而且是直接連到院外,然後再連回來,這些設備的資安可能都需要再加強,如做加密或其他儲存方式,都還有調整空間。

[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]

林政宏指出,ISMS已經有好幾年了,很多文件及相關辦法其實都有,但OT跟CT可能對稽核模式還不是很熟悉,也缺乏相關辦法,所以相較於IT,OT跟CT在面對評鑑時確實比較困難一點。

雖然以重要性來看,IT/OT/CT的比重應該是6:3:1,但資通安全理論上不應該是只有IT來做這件事情,中山醫學大學附設醫院還特別成立一個資通安全委員會,然後有個專職人員來負責資通安全事務。

但林政宏認為,資通安全最好還是由資訊室來主導,因為專職人員不見得那麼了解IT部門的業務,如果突然修改辦法,IT部門可能就會跟不上腳步。其實有些辦法可以慢慢的去做調整,因為還有時間,並不是說什麼時候就一定要完成。

最後是資安投資的部分,因為醫院提供的資源有限,林政宏認為,要花在可能比較重要的項目,IT部門要試著去想想看,哪些東西很重要,再花錢投資,甚至做好基本防護之後,要更重視備份跟還原的部分,如果可以把資料的遺失量儘量縮小,這部分可能會相對的更重要。

林政宏強調,最好能先做自我檢視,如找開源來做弱掃,看看主機有什麼問題,先做一些修補,然後再找外面的廠商,負擔會比較小一點。開源的效果雖然不會比外面廠商多,可是基本項目如重大更新的部分,還是可以掃出來,也會產出報告,可以先依此來做改善。

(本文授權非營利轉載,請註明出處:CIO Taiwan)

標籤: 中山醫大林政宏資安法醫療醫療業
上一篇文章

抓住5G半導體晶片市場的投資風口

下一篇文章

【製造業】智慧製造經驗分享─日月光投控

相關文章

1200630 (3)
產業瞭望

循環科技與智慧系統 深植綠色永續韌性

2025-07-04
1200630
產業瞭望

釀醋工廠智慧化 以餐飲 ODM 提升競爭力

2025-07-04
1200630
產業瞭望

人臉導購與桌面偵測 金色三麥端出 AI 餐酒新體驗

2025-07-01
下一篇文章
日月光投控資深副總經理陳光雄

【製造業】智慧製造經驗分享─日月光投控

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

追蹤我們的 Facebook

近期文章

  • AI 企業應用的深層準備度
  • 黃彥男:資安是一切基礎 FIDO 專場揭示企業驗證轉型
  • 2025 Ansys Simulation World 台灣用戶技術大會開跑
  • Lenovo 推出搭載NVIDIA RTX 50系列筆電陣容
  • 扎根創新人才 華碩加入臺大AI 電資大聯盟

📈 CIO點閱文章週排行

  • 1200x630 I162d12

    【專訪】街口電子支付總經理范庭甄

    0 分享
    分享 0 Tweet 0
  • 【專訪】燁輝企業總經理張振武

    0 分享
    分享 0 Tweet 0
  • 紅帽提出數位轉型五步驟

    0 分享
    分享 0 Tweet 0
  • 健康台灣深耕計畫下的科技角色與挑戰

    0 分享
    分享 0 Tweet 0
  • 黃彥男:資安是一切基礎 FIDO 專場揭示企業驗證轉型

    0 分享
    分享 0 Tweet 0
  • 企業 AI 資源布局與應用情況

    0 分享
    分享 0 Tweet 0
  • 從原則邁向 IT 系統實踐之路(下)將個資保護 DNA,注入資通系統新生命

    0 分享
    分享 0 Tweet 0
  • NVIDIA 黃仁勳:代理式人工智慧(Agentic AI)引領產業變革,數位員工時代來臨

    0 分享
    分享 0 Tweet 0
  • 企業如何應對台灣加密監管升溫?

    0 分享
    分享 0 Tweet 0
  • ISO 27701 新版將面世,PIMS 標準出新版,個資保護國內外升級

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 最新文章
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

1200佳格食品資訊處處長李俊明

【專訪】佳格食品資訊處處長李俊明

虛實通路資料整合 佳格食品即時掌握消費市場動態 引進微軟 Power BI 商業

Cloudflare 美商雲端資安公司台灣區業務經理蔡冰冰

Cloudflare:化零為整,突破混合雲安全與效能瓶頸

第十五屆CIO價值學院第二堂課 會後報導 Cloudflare 美商雲端資安公司

網頁文章首圖1200x630 (4)

蔡政宏:做數位轉型,須找出關鍵議題、再尋求解方

第八屆製造業CIO論壇台南場會後報導 前正美集團資深副總經理、目前從事企業數位轉

1200 T1a5072 1 王詠萱

Freshworks 簡化資訊流程 提升 IT 生產力

第十六屆 CIO 價值學院第二堂課 會後報導 現今 CIO 正面臨四大挑戰,引進

1200 Alex 2020

萊因引進IEC 62443認證強化ICS系統安全

ICS系統在本質上與IT系統有很大的差異,針對IT系統安全性的管制作法,未必能適

王儷玲 39f Logo

開放銀行成主流 英國成效最佳

第十一屆金融CIO高峰會春季場 會後報導 廣泛被討論的資料經濟,是將資料以電腦可

Ciotaiwan Logo 600 White

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音