策略、管理、技術缺一不可
資安法即將落實到八大關鍵基礎建設產業(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域),由衛福部委辦之「關鍵基礎設施資安工作推動專案辦公室」於日前開始對4家進行了資安稽核作業,結果仍有很大進步空間。
採訪/施鑫澤 文/楊迺仁
隨著智慧醫療的應用漸漸普及,醫院聯網設備可能面臨的資安問題也漸漸浮上檯面。衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出,醫院的資安管理要擴大到全院,首先要注意的是「資通安全法」。因為不像個人資料保護法是針對全部的組織機構,不管哪一個層級,醫院都必須針對法令去因應,反觀資通安全法所列管的是特定的對象,但很多人常常會搞不清楚,因為適用的對象不會公告,或是特定對象因為有機密性又不能公告,導致多數人對於那些對象適用資通安全法容易產生混淆。
資安管理息息相關
范仲玫指出,資通安全法規範對象及權責機關,會因為公務機關及特定非公務機關而有所差別。如高雄市立醫院的上級機關是高雄市政府衛生局,但假如是特定非公務機關,也就是私立醫院,督導機構就變成是衛生福利部。
因此對可能承攬醫院業務的資訊企業而言,一定要弄清楚醫院的「上級機關」是誰,否則在需要通報時會發生疏失。如很多人以為台大醫院如果發生資安事件,要跟衛福部通報,但台大醫院的上級機關其實是教育部,而榮民總醫院的上級機關卻是退輔會,所以通報對象其實並不一致。因此,通報各有主管機關,這是法令規定,不可混淆。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
至於資通安全法的「納管對象」,衛生福利部會先指定,在經過行政院核定後,就會成為醫療「關鍵基礎設施」(Critical Infrastructure, CI)提供者。值得注意的是,關鍵基礎設施提供者並不限於醫院,目前核定的對象,醫院有28家,另外還有18家公務機關,再加上3個機關,總共核定49家。
范仲玫也指出,推廣資安不能只是針對關鍵基礎提供者,非CI醫療院所其實有四百多家,許多不適用資通安全法的私立醫療院所,還是要提升資安,否則現在很多醫療院所都會聯網,只要有一家出問題,聯網的其他醫療院所也可能會出問題。
范仲玫表示,雖然醫院評鑑量表已特別提到資訊安全管理,所以CI提供者便會受法令規範,或許其他的醫院就很難強制執行。范仲玫呼籲所有的醫界同仁,不管是因為受納管而必須依照法規遵循,或者希望將適用法規當作標竿做自我提升,都要積極推廣資安管理。
三個構面缺一不可
范仲玫指出,衛福部在推動醫療體系的資安作為,會先訂出規範,然後會透過評鑑等方式,而有不同強度的要求,原則上會依照「PDCA」管理循環方式進行。
首先,P就是Plan,也就是CI提供者要提交資安維護計畫;
D就是Do,CI提供者要提交計畫的實施情形;
C則是Check,衛福部會在4月份啟動稽核;
最後的A是Action,經稽核發現實施情形有缺失或待改善的項目,要在一個月內提交改善報告的行執行情形。
范仲玫表示,2020年稽核了4家CI提供者,2021年暫訂目標是5~9家,希望能在三年內讓29家CI提供者至少能走過一個循環,透過定期查核的力道,有效改善資通安全管理的執行事項。
范仲玫指出,就算不是CI提供者,其實也可以嘗試前述的配置方式。事實上,由於在2010年就已開始推動電子病歷,許多醫療院所過去十幾年已經在導入 ISO 27001。但以前的導入範圍,可能只是限於核心機房及電子病歷,所以負責資安的最高單位多半都是資訊室,但由於現在有許多醫療儀器也會聯網,一樣會有資安風險,與資安相關的核心業務,不能只是考慮資訊系統,但如果資安範圍要往外擴大,組織也要往上提升。
在執行面方面,范仲玫提醒一定要針對管理管理辦法及措施,舉行完整會議。范仲玫建議醫院要從三個構面:策略面、管理面跟技術面來思考,有哪些可能要注意及加強的地方。
因為這三個構面其實都有對應到資通安全維護計畫,如與策略面相關的核心業務、政策和推動組織的經費、人力及配置目標,稽核委員都會進行查核;至於醫院落實資安管理這個部分,也就是從資產盤點開始,之後啟動的風險評鑑及高風險控制措施,其實就是管理面。至於技術面的部分,要將與核心業務有關的資通系統辨識出來,如門診、急診、住院等主要系統一定要進行弱點掃描、滲透測試、帳密管理等防護。
至於哪些資通系統屬於核心業務,范仲玫認為可以參考可容忍的中斷時間,如醫療影像調閱系統,與門診、急診和住院系統的可容忍中斷時間,其實是不一樣的,而且可容忍的時間長短,往往還會牽涉到醫院的備援和備份措施,也會影響到應變措施。
范仲玫強調,醫院在演練復原程序時,要考慮資料的驗證性,如門診可容忍中斷的時間是30分鐘,一旦超過30分鐘,就可能要啟動一部分的人工作業或備援系統,此時能否抓到正確的資料庫或者是電子病歷非常重要,資料必須要經過驗證,才算達成復原程序的完整性。
范仲玫強調,針對資通安全事件一定要通報,因為所有的醫療院所都處於息息相關的環境裡面,越早通報情資,可以越早進行交流,所以未來的演練,一定要加入通報演練的環節。
醫療儀器會是未來資安稽核重點
范仲玫指出,2021年的「醫療資安稽核」,將會加強醫療儀器的資安管控,因為在電子病歷推動之下,其實醫療儀器很多都已聯網,其實就會有風險存在,就會涉及到醫療核心跟病人的安全問題。
另一個要考量的是其他資源設施如水電、電梯控制,緊急呼叫,甚至傳統放在OT的門禁系統,如果進行智慧化,就要列入IT去做資安風險管理,包括委外供應商的軟體版本控制、足跡追查等,否則要是手術室的門禁系統出問題,該開刀的醫師如果進不去,就會衍生嚴重問題。
所以資訊系統的盤點做得越細,資安的掌握度也會越好。雖然現在談資安,還是會以資訊單位為主,但如果要啟動的是資訊、醫療儀器及其他資源設施,范仲玫建議組織層級要往上提升,甚至到副院長的層級,才能夠調度所有資源。
針對組織的部分,范仲玫也提醒醫院的資安推動組織有時會合併不同的單位,如電子病歷及個資法的推動單位。此時要注意的地方就是,在討論議題的比重問題,會不會太偏向其中一方如電子病歷,個資就沒有討論。
此外,會議不能只有報告事項,還要有決議,才能真正做確認,來檢核適當性。也就是會議記錄要能適當的呈現。如資安推動組織如果要合併不同的單位運作,會有那些分組?如資安稽核、資安品質或資安控制措施,就要把這些小組的任務條列清楚,才能落實在平常的運作中。
策略目標也就是績效的部分,如服務比例如果是要達到100,就是要從來沒有中斷服務過,醫院希望的目標定在哪裡,或者是演練要有幾次,這些屬於量化的內容,在策略上面都要有適當性的討論。不管是什麼樣的專案,是透過管審會議或是其他稽核方式,都要定期去檢核及進行教育訓練,因為在稽核時都會被問到。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
第三方驗證開始受重視
范仲玫強調,策略面、管理面及技術面三者要互動。如公務機關現在已經開始要求要有第三方驗證,所以現在有很多資訊公司,因為政府採購法有要求,所以已經開始在行動。在醫療資訊方面,未來也很有可能會變成是必要條件,都必須要在合約上載明,如從遠端連線設備時,要先通知才能授權。
其他要注意的資安重點,還包括設備的汰舊換新、委外服務、資產異動、保密切結等,范仲玫認為,最好是一個文件版本就能擴大到全組織都可以去運用,這樣才會比較完整。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
-scaled-e1586340709721.jpg)
