• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO IT經理人雜誌
  • CSO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CSO精選

醫療業關鍵基礎設施資安進入落實階段

2021-01-14
分類 : CSO精選
閱讀時間 :3分鐘
0
0
醫療業關鍵基礎設施資安進入落實階段

策略、管理、技術缺一不可

資安法即將落實到八大關鍵基礎建設產業(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域),由衛福部委辦之「關鍵基礎設施資安工作推動專案辦公室」於日前開始對4家進行了資安稽核作業,結果仍有很大進步空間。

採訪/施鑫澤 文/楊迺仁


隨著智慧醫療的應用漸漸普及,醫院聯網設備可能面臨的資安問題也漸漸浮上檯面。衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出,醫院的資安管理要擴大到全院,首先要注意的是「資通安全法」。因為不像個人資料保護法是針對全部的組織機構,不管哪一個層級,醫院都必須針對法令去因應,反觀資通安全法所列管的是特定的對象,但很多人常常會搞不清楚,因為適用的對象不會公告,或是特定對象因為有機密性又不能公告,導致多數人對於那些對象適用資通安全法容易產生混淆。

內容目錄 隱藏
策略、管理、技術缺一不可
資安管理息息相關
三個構面缺一不可
醫療儀器會是未來資安稽核重點
第三方驗證開始受重視

資安管理息息相關

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,資通安全法規範對象及權責機關,會因為公務機關及特定非公務機關而有所差別。如高雄市立醫院的上級機關是高雄市政府衛生局,但假如是特定非公務機關,也就是私立醫院,督導機構就變成是衛生福利部。

因此對可能承攬醫院業務的資訊企業而言,一定要弄清楚醫院的「上級機關」是誰,否則在需要通報時會發生疏失。如很多人以為台大醫院如果發生資安事件,要跟衛福部通報,但台大醫院的上級機關其實是教育部,而榮民總醫院的上級機關卻是退輔會,所以通報對象其實並不一致。因此,通報各有主管機關,這是法令規定,不可混淆。

[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]

至於資通安全法的「納管對象」,衛生福利部會先指定,在經過行政院核定後,就會成為醫療「關鍵基礎設施」(Critical Infrastructure, CI)提供者。值得注意的是,關鍵基礎設施提供者並不限於醫院,目前核定的對象,醫院有28家,另外還有18家公務機關,再加上3個機關,總共核定49家。

范仲玫也指出,推廣資安不能只是針對關鍵基礎提供者,非CI醫療院所其實有四百多家,許多不適用資通安全法的私立醫療院所,還是要提升資安,否則現在很多醫療院所都會聯網,只要有一家出問題,聯網的其他醫療院所也可能會出問題。

范仲玫表示,雖然醫院評鑑量表已特別提到資訊安全管理,所以CI提供者便會受法令規範,或許其他的醫院就很難強制執行。范仲玫呼籲所有的醫界同仁,不管是因為受納管而必須依照法規遵循,或者希望將適用法規當作標竿做自我提升,都要積極推廣資安管理。

[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]

三個構面缺一不可

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,衛福部在推動醫療體系的資安作為,會先訂出規範,然後會透過評鑑等方式,而有不同強度的要求,原則上會依照「PDCA」管理循環方式進行。

首先,P就是Plan,也就是CI提供者要提交資安維護計畫;

D就是Do,CI提供者要提交計畫的實施情形;

C則是Check,衛福部會在4月份啟動稽核;

最後的A是Action,經稽核發現實施情形有缺失或待改善的項目,要在一個月內提交改善報告的行執行情形。

范仲玫表示,2020年稽核了4家CI提供者,2021年暫訂目標是5~9家,希望能在三年內讓29家CI提供者至少能走過一個循環,透過定期查核的力道,有效改善資通安全管理的執行事項。

范仲玫指出,就算不是CI提供者,其實也可以嘗試前述的配置方式。事實上,由於在2010年就已開始推動電子病歷,許多醫療院所過去十幾年已經在導入 ISO 27001。但以前的導入範圍,可能只是限於核心機房及電子病歷,所以負責資安的最高單位多半都是資訊室,但由於現在有許多醫療儀器也會聯網,一樣會有資安風險,與資安相關的核心業務,不能只是考慮資訊系統,但如果資安範圍要往外擴大,組織也要往上提升。

在執行面方面,范仲玫提醒一定要針對管理管理辦法及措施,舉行完整會議。范仲玫建議醫院要從三個構面:策略面、管理面跟技術面來思考,有哪些可能要注意及加強的地方。

因為這三個構面其實都有對應到資通安全維護計畫,如與策略面相關的核心業務、政策和推動組織的經費、人力及配置目標,稽核委員都會進行查核;至於醫院落實資安管理這個部分,也就是從資產盤點開始,之後啟動的風險評鑑及高風險控制措施,其實就是管理面。至於技術面的部分,要將與核心業務有關的資通系統辨識出來,如門診、急診、住院等主要系統一定要進行弱點掃描、滲透測試、帳密管理等防護。

至於哪些資通系統屬於核心業務,范仲玫認為可以參考可容忍的中斷時間,如醫療影像調閱系統,與門診、急診和住院系統的可容忍中斷時間,其實是不一樣的,而且可容忍的時間長短,往往還會牽涉到醫院的備援和備份措施,也會影響到應變措施。

范仲玫強調,醫院在演練復原程序時,要考慮資料的驗證性,如門診可容忍中斷的時間是30分鐘,一旦超過30分鐘,就可能要啟動一部分的人工作業或備援系統,此時能否抓到正確的資料庫或者是電子病歷非常重要,資料必須要經過驗證,才算達成復原程序的完整性。

范仲玫強調,針對資通安全事件一定要通報,因為所有的醫療院所都處於息息相關的環境裡面,越早通報情資,可以越早進行交流,所以未來的演練,一定要加入通報演練的環節。

醫療儀器會是未來資安稽核重點

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,2021年的「醫療資安稽核」,將會加強醫療儀器的資安管控,因為在電子病歷推動之下,其實醫療儀器很多都已聯網,其實就會有風險存在,就會涉及到醫療核心跟病人的安全問題。

另一個要考量的是其他資源設施如水電、電梯控制,緊急呼叫,甚至傳統放在OT的門禁系統,如果進行智慧化,就要列入IT去做資安風險管理,包括委外供應商的軟體版本控制、足跡追查等,否則要是手術室的門禁系統出問題,該開刀的醫師如果進不去,就會衍生嚴重問題。

所以資訊系統的盤點做得越細,資安的掌握度也會越好。雖然現在談資安,還是會以資訊單位為主,但如果要啟動的是資訊、醫療儀器及其他資源設施,范仲玫建議組織層級要往上提升,甚至到副院長的層級,才能夠調度所有資源。

針對組織的部分,范仲玫也提醒醫院的資安推動組織有時會合併不同的單位,如電子病歷及個資法的推動單位。此時要注意的地方就是,在討論議題的比重問題,會不會太偏向其中一方如電子病歷,個資就沒有討論。

此外,會議不能只有報告事項,還要有決議,才能真正做確認,來檢核適當性。也就是會議記錄要能適當的呈現。如資安推動組織如果要合併不同的單位運作,會有那些分組?如資安稽核、資安品質或資安控制措施,就要把這些小組的任務條列清楚,才能落實在平常的運作中。

策略目標也就是績效的部分,如服務比例如果是要達到100,就是要從來沒有中斷服務過,醫院希望的目標定在哪裡,或者是演練要有幾次,這些屬於量化的內容,在策略上面都要有適當性的討論。不管是什麼樣的專案,是透過管審會議或是其他稽核方式,都要定期去檢核及進行教育訓練,因為在稽核時都會被問到。

第三方驗證開始受重視

范仲玫強調,策略面、管理面及技術面三者要互動。如公務機關現在已經開始要求要有第三方驗證,所以現在有很多資訊公司,因為政府採購法有要求,所以已經開始在行動。在醫療資訊方面,未來也很有可能會變成是必要條件,都必須要在合約上載明,如從遠端連線設備時,要先通知才能授權。

其他要注意的資安重點,還包括設備的汰舊換新、委外服務、資產異動、保密切結等,范仲玫認為,最好是一個文件版本就能擴大到全組織都可以去運用,這樣才會比較完整。

這篇文章對您有幫助嗎?
👍👎
標籤: 最新文章范仲玫衛生福利部資通安全法醫療業文章醫療資安稽核
上一篇文章

團購債券 湊伙實現

下一篇文章

資料儲存趨勢 希捷提五大趨勢

相關文章

什麼是ISAC或ISAO?這些網路威脅資訊共享組織如何提高安全性
精選文章

什麼是ISAC或ISAO?這些網路威脅資訊共享組織如何提高安全性

2021-01-07
網路保險的關鍵步驟與考量
CSO精選

網路保險的關鍵步驟與考量

2020-11-20
資安即國安2.0 扶植資安產業發展
CSO精選

資安即國安2.0 扶植資安產業發展

2020-11-19
下一篇文章
資料儲存趨勢 希捷提五大趨勢

資料儲存趨勢 希捷提五大趨勢

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

透過行動條碼加入

📈 CIO閱讀七日排行

  • 2019-20 CIO大調查報告

    2019-20 CIO大調查報告PDF下載

    0 分享
    分享 0 Tweet 0
  • 【專訪】臺灣數位企業總會理事長陳來助

    0 分享
    分享 0 Tweet 0
  • AI最常見的應用有哪些?

    0 分享
    分享 0 Tweet 0
  • 2020-21 CIO大調查報告PDF下載

    0 分享
    分享 0 Tweet 0
  • Gartner公布2021年9大重要戰略技術趨勢

    0 分享
    分享 0 Tweet 0
  • 全面性整合HIS以雲原生為基礎

    0 分享
    分享 0 Tweet 0
  • 明鏡為鑒:10個數位轉型成功案例

    0 分享
    分享 0 Tweet 0
  • RPA成市場主流 惟須注意可用性

    0 分享
    分享 0 Tweet 0
  • 【專訪】國泰金控資深副總姚旭杰

    0 分享
    分享 0 Tweet 0
  • 多雲架構挑戰大 仰賴單一方案克服

    0 分享
    分享 0 Tweet 0

追蹤我們的 Facebook

數位及平面

  • CIO Taiwan 網站
  • CIO 電子報
  • 《CIO IT經理人》數位版雜誌 (Zinio)
  • 《CIO IT經理人》平面雜誌

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO協進會
  • CIO.com

關於我們

  • 關於我們
  • 隱私權政策

旗訊科技股份有限公司 | 100 台北市中正區杭州南路一段15-1號19樓 | TEL: 886-2-2321-4335

Copyright© Flag Information Co.,Ltd. All Rights Reserved.

  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 最新文章
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO IT 經理人雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請輸入 Email 及 使用者名稱(將來無法變更)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

2020年CIO調查報告(紐澳)

CIO們將省下花在傳統資訊與通訊科技(ICT)的時間,轉而投入更重要的職場角色。

Automation Anywhere資深產品技術顧問蔡君浩

RPA成市場主流 惟須注意可用性

文/林裕洋 隨著數位組織議題備受重視,企業亦積極打造整合人機協作環境,通過數位員

PC-cillin 2021上市 兼顧防毒、防駭與防詐

2020全球疫情延燒,詭計多端的駭客主意也打得非常快,網路威脅不斷變換各種樣貌,

全面性整合HIS以雲原生為基礎

口述/孫培然 彙整/CIO編輯室 HIS要怎麼優化再造?以中國醫藥大學附設醫院為

互動式訊息夯 Infobip推出訊息解決方案

雲端通訊公司Infobip推出兩款顧客互動解決方案Moments以及Conver

剖析企業規模的人工智慧策略

許多企業的人工智慧技術停留在獨立專案與概念驗證階段,若想要有所突破,就要發展針對

CloseMenu

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院
  • 企業防疫與持續營運計畫 線上座談會
  • 亞太CIO線上高峰論壇
  • 製造業CIO論壇
  • 金融CIO高峰會
  • Asia Leadership Forum 2020
  • 智慧醫療研討會
  • 商業服務科技論壇
  • CIO大調查

影音

  • 影音