• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO IT經理人雜誌
  • CSO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CSO精選

醫療業關鍵基礎設施資安進入落實階段

2021-01-14
分類 : CSO精選
0
A A
0
Patient studying medical checkup list

策略、管理、技術缺一不可

資安法即將落實到八大關鍵基礎建設產業(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域),由衛福部委辦之「關鍵基礎設施資安工作推動專案辦公室」於日前開始對4家進行了資安稽核作業,結果仍有很大進步空間。

採訪/施鑫澤 文/楊迺仁


隨著智慧醫療的應用漸漸普及,醫院聯網設備可能面臨的資安問題也漸漸浮上檯面。衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出,醫院的資安管理要擴大到全院,首先要注意的是「資通安全法」。因為不像個人資料保護法是針對全部的組織機構,不管哪一個層級,醫院都必須針對法令去因應,反觀資通安全法所列管的是特定的對象,但很多人常常會搞不清楚,因為適用的對象不會公告,或是特定對象因為有機密性又不能公告,導致多數人對於那些對象適用資通安全法容易產生混淆。

內容目錄 隱藏
策略、管理、技術缺一不可
資安管理息息相關
三個構面缺一不可
醫療儀器會是未來資安稽核重點
第三方驗證開始受重視

資安管理息息相關

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,資通安全法規範對象及權責機關,會因為公務機關及特定非公務機關而有所差別。如高雄市立醫院的上級機關是高雄市政府衛生局,但假如是特定非公務機關,也就是私立醫院,督導機構就變成是衛生福利部。

因此對可能承攬醫院業務的資訊企業而言,一定要弄清楚醫院的「上級機關」是誰,否則在需要通報時會發生疏失。如很多人以為台大醫院如果發生資安事件,要跟衛福部通報,但台大醫院的上級機關其實是教育部,而榮民總醫院的上級機關卻是退輔會,所以通報對象其實並不一致。因此,通報各有主管機關,這是法令規定,不可混淆。

[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]

至於資通安全法的「納管對象」,衛生福利部會先指定,在經過行政院核定後,就會成為醫療「關鍵基礎設施」(Critical Infrastructure, CI)提供者。值得注意的是,關鍵基礎設施提供者並不限於醫院,目前核定的對象,醫院有28家,另外還有18家公務機關,再加上3個機關,總共核定49家。

范仲玫也指出,推廣資安不能只是針對關鍵基礎提供者,非CI醫療院所其實有四百多家,許多不適用資通安全法的私立醫療院所,還是要提升資安,否則現在很多醫療院所都會聯網,只要有一家出問題,聯網的其他醫療院所也可能會出問題。

范仲玫表示,雖然醫院評鑑量表已特別提到資訊安全管理,所以CI提供者便會受法令規範,或許其他的醫院就很難強制執行。范仲玫呼籲所有的醫界同仁,不管是因為受納管而必須依照法規遵循,或者希望將適用法規當作標竿做自我提升,都要積極推廣資安管理。

三個構面缺一不可

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,衛福部在推動醫療體系的資安作為,會先訂出規範,然後會透過評鑑等方式,而有不同強度的要求,原則上會依照「PDCA」管理循環方式進行。

首先,P就是Plan,也就是CI提供者要提交資安維護計畫;

D就是Do,CI提供者要提交計畫的實施情形;

C則是Check,衛福部會在4月份啟動稽核;

最後的A是Action,經稽核發現實施情形有缺失或待改善的項目,要在一個月內提交改善報告的行執行情形。

范仲玫表示,2020年稽核了4家CI提供者,2021年暫訂目標是5~9家,希望能在三年內讓29家CI提供者至少能走過一個循環,透過定期查核的力道,有效改善資通安全管理的執行事項。

范仲玫指出,就算不是CI提供者,其實也可以嘗試前述的配置方式。事實上,由於在2010年就已開始推動電子病歷,許多醫療院所過去十幾年已經在導入 ISO 27001。但以前的導入範圍,可能只是限於核心機房及電子病歷,所以負責資安的最高單位多半都是資訊室,但由於現在有許多醫療儀器也會聯網,一樣會有資安風險,與資安相關的核心業務,不能只是考慮資訊系統,但如果資安範圍要往外擴大,組織也要往上提升。

在執行面方面,范仲玫提醒一定要針對管理管理辦法及措施,舉行完整會議。范仲玫建議醫院要從三個構面:策略面、管理面跟技術面來思考,有哪些可能要注意及加強的地方。

因為這三個構面其實都有對應到資通安全維護計畫,如與策略面相關的核心業務、政策和推動組織的經費、人力及配置目標,稽核委員都會進行查核;至於醫院落實資安管理這個部分,也就是從資產盤點開始,之後啟動的風險評鑑及高風險控制措施,其實就是管理面。至於技術面的部分,要將與核心業務有關的資通系統辨識出來,如門診、急診、住院等主要系統一定要進行弱點掃描、滲透測試、帳密管理等防護。

至於哪些資通系統屬於核心業務,范仲玫認為可以參考可容忍的中斷時間,如醫療影像調閱系統,與門診、急診和住院系統的可容忍中斷時間,其實是不一樣的,而且可容忍的時間長短,往往還會牽涉到醫院的備援和備份措施,也會影響到應變措施。

范仲玫強調,醫院在演練復原程序時,要考慮資料的驗證性,如門診可容忍中斷的時間是30分鐘,一旦超過30分鐘,就可能要啟動一部分的人工作業或備援系統,此時能否抓到正確的資料庫或者是電子病歷非常重要,資料必須要經過驗證,才算達成復原程序的完整性。

范仲玫強調,針對資通安全事件一定要通報,因為所有的醫療院所都處於息息相關的環境裡面,越早通報情資,可以越早進行交流,所以未來的演練,一定要加入通報演練的環節。

醫療儀器會是未來資安稽核重點

(圖片來源: 關鍵基礎設施資安工作推動專案辦公室。)

范仲玫指出,2021年的「醫療資安稽核」,將會加強醫療儀器的資安管控,因為在電子病歷推動之下,其實醫療儀器很多都已聯網,其實就會有風險存在,就會涉及到醫療核心跟病人的安全問題。

另一個要考量的是其他資源設施如水電、電梯控制,緊急呼叫,甚至傳統放在OT的門禁系統,如果進行智慧化,就要列入IT去做資安風險管理,包括委外供應商的軟體版本控制、足跡追查等,否則要是手術室的門禁系統出問題,該開刀的醫師如果進不去,就會衍生嚴重問題。

所以資訊系統的盤點做得越細,資安的掌握度也會越好。雖然現在談資安,還是會以資訊單位為主,但如果要啟動的是資訊、醫療儀器及其他資源設施,范仲玫建議組織層級要往上提升,甚至到副院長的層級,才能夠調度所有資源。

針對組織的部分,范仲玫也提醒醫院的資安推動組織有時會合併不同的單位,如電子病歷及個資法的推動單位。此時要注意的地方就是,在討論議題的比重問題,會不會太偏向其中一方如電子病歷,個資就沒有討論。

此外,會議不能只有報告事項,還要有決議,才能真正做確認,來檢核適當性。也就是會議記錄要能適當的呈現。如資安推動組織如果要合併不同的單位運作,會有那些分組?如資安稽核、資安品質或資安控制措施,就要把這些小組的任務條列清楚,才能落實在平常的運作中。

策略目標也就是績效的部分,如服務比例如果是要達到100,就是要從來沒有中斷服務過,醫院希望的目標定在哪裡,或者是演練要有幾次,這些屬於量化的內容,在策略上面都要有適當性的討論。不管是什麼樣的專案,是透過管審會議或是其他稽核方式,都要定期去檢核及進行教育訓練,因為在稽核時都會被問到。

[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]

第三方驗證開始受重視

范仲玫強調,策略面、管理面及技術面三者要互動。如公務機關現在已經開始要求要有第三方驗證,所以現在有很多資訊公司,因為政府採購法有要求,所以已經開始在行動。在醫療資訊方面,未來也很有可能會變成是必要條件,都必須要在合約上載明,如從遠端連線設備時,要先通知才能授權。

其他要注意的資安重點,還包括設備的汰舊換新、委外服務、資產異動、保密切結等,范仲玫認為,最好是一個文件版本就能擴大到全組織都可以去運用,這樣才會比較完整。

(本文授權非營利轉載,請註明出處:CIO Taiwan)

這篇文章對您有幫助嗎?
👍👎
標籤: 范仲玫衛生福利部資通安全法醫療醫療業醫療業文章醫療資安稽核金融金融業
上一篇文章

團購債券 湊伙實現

下一篇文章

資料儲存趨勢 希捷提五大趨勢

相關文章

華碩集團資安長金慶柏
風雲人物

【專訪】華碩集團資安長金慶柏

2022-07-04
1200
CSO精選

摩根史坦利網路安全總監 談風險與資安領域的四大重要影響

2022-06-30
evil-robot
CSO精選

【醫療業】漏洞暗藏危機 小心機器人被劫持!

2022-06-16
下一篇文章
預設精選圖片1200x630

資料儲存趨勢 希捷提五大趨勢

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

點擊看文章

📈 CIO點閱文章週排行

  • 華碩集團資安長金慶柏

    【專訪】華碩集團資安長金慶柏

    0 分享
    分享 0 Tweet 0
  • 微服務的迷思:不要為微而微

    0 分享
    分享 0 Tweet 0
  • 植樹育林 電子製造業如何達碳中和?

    0 分享
    分享 0 Tweet 0
  • 2022年度CIO大調查報告下載

    0 分享
    分享 0 Tweet 0
  • 大型企業資訊長必須具備的七項領導特質

    0 分享
    分享 0 Tweet 0
  • 明鏡為鑒:10個數位轉型成功案例

    0 分享
    分享 0 Tweet 0
  • 華利實業穩居全球前五大製鞋業採用 HPE Superdome Flex作為 SAP S/4HANA 平台

    0 分享
    分享 0 Tweet 0
  • AI最常見的應用有哪些?

    0 分享
    分享 0 Tweet 0
  • 人工智慧從四個方向強化企業人力資源策略

    0 分享
    分享 0 Tweet 0
  • 【專訪】政治大學法學院副教授臧正運

    0 分享
    分享 0 Tweet 0

追蹤我們的 Facebook

透過行動條碼加入

數位及平面

  • CIO Taiwan 網站
  • CIO 電子報
  • 《CIO IT經理人》數位版雜誌 (Zinio)
  • 《CIO IT經理人》平面雜誌

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO協進會
  • CIO.com

關於我們

  • 關於我們
  • 隱私權政策

旗訊科技股份有限公司 | 100 台北市中正區杭州南路一段15-1號19樓 | TEL: 886-2-2321-4335

Copyright© Flag Information Co.,Ltd. All Rights Reserved.

  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 最新文章
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO IT 經理人雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

630-愛立信總裁

愛立信CEO: 連結之重要性 史無前例

愛立信CEO鮑毅康強調網路連接在危機時期的重要性,以及目前重新思考網路在未來可以

IMG_5465

iKala Cloud AIOps 問世 助企業無痛上雲

面對企業上雲的需求,專注在IT基礎架構的整個生命週期的 iKala Cloud,

廖肇弘2

抓住5G半導體晶片市場的投資風口

在中國古老的傳統曆法中,2020年是庚子年,在歷史上似乎總是天災人禍不斷的年份。

Timeline infographic design with winding road map. 5 steps, opti

運用技術路線圖做好管理數位轉型的計畫

CIO Taiwan – 科技日新月異,我們需要有一份優異的「技術路

1200-p39

景宜推出WEBA平台 助企業搶攻行動商機

景宜推出針對數位互動以及顧客服務的數位行銷管理平台— WEBA,協助企業與其顧客

花蓮慈濟醫院副院長吳彬安

【專訪】花蓮慈濟醫院副院長吳彬安

花蓮慈濟借重AI 全力發展智慧醫療 2020年花蓮慈濟醫院成立人工智慧醫療創新發

ciotaiwan-logo-600-white

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院
  • 企業防疫與持續營運計畫 線上座談會
  • 亞太CIO線上高峰論壇
  • 製造業CIO論壇
  • 金融CIO高峰會
  • Asia Leadership Forum 2020
  • 智慧醫療研討會
  • 商業服務科技論壇
  • CIO大調查

影音

  • 影音