資料來源:衛生福利部,2021年12月,iThome製圖。

蔡英文總統上任以來,積極推動「資安即國安」的國家政策,並且在2019年1月1日,正式實施《資通安全法》,作為公務機關及特定非公務機關的資安準則。其中,特定非公務機關除政府機關外,還囊括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院及高科技園區,總計八大關鍵基礎設施,還包括公營事業和特定法人機關;而臺灣目前已有46家醫療院所被指定為關鍵基礎設施醫院,也必須受到《資通安全法》的規範。

臺灣醫療院所分成四大類:公私立醫學中心、區域醫院、地區醫院,以及基層診所,其中,衛生福利部已經陸續指定46家公、私立醫學中心和區域醫院,作為CI(關鍵基礎設施)的指定醫院。

衛生福利部資訊處處長龐一鳴表示,臺灣醫院最重視醫院評鑑,為了讓醫院更重視資安,衛福部之前曾特別宣布,將ISO 27001的ISMS資通安全管理列為醫院評鑑項目,後來在2019年醫院評鑑的資訊資安項目,改以符合《資通安全法》作為醫院評鑑資安項目的基準。

龐一鳴進一步解釋,《資通安全法》作為醫院評鑑的基準項目,但醫院有分成公立和私立醫院,公立醫院中,還分為不同部會管理。他表示,若依照《資通安全法》的架構,公立醫院屬於公務機關,私立醫院中,則只有部分被指定為CI醫院,才是符合《資通安全法》所謂的「特定非公務機關」。

龐一鳴強調,上述公立醫院及部分特定非公務機關的指定醫院,都必須符合《資通安全法》的法遵要求,像是公務機關要求應設置「資通安全長」,由機關首長指派副首長或適當人員兼任,所以,公立醫院及指定的CI醫院,都必須依照該法,指派副首長或適當人選兼任資安長一職,對於其他的私立醫院,並沒有強制要求遵循資安法規範。關於設立資安長一職,雖然政府採取鼓勵態度,但因為醫院評鑑「稽核事項」中,有資安架構的相關事項,所以衛福部認為,醫院設立資安長的強度,屬於行政程序法所定義的「行政指導」。

也就是說,公立醫院和CI指定醫院依照資安法規定,必須強制設立資安長一職,其他私立醫院雖然不設立資安長也不違法,但主管機關衛福部仍然可以採用其他「鼓勵」方式,要求私立醫院朝著設立資安長的目標前進。

資通安全法的法遵強度最高,已經成為醫院評鑑的重要項目

不過,要落實資安,龐一鳴認為,除了要有強烈法規遵循的要求外,對醫院而言,當資安已經成為醫院評鑑和稽核的一環時,稽核就會著重在「資安組織」、「決策方式」、「管理制度」、「資源配置」以及「組織文化」。

以法遵要求而言,為了強化醫院對於資安的防護措施,衛福部在政策推動上,也有不同強度的措施。

強度最高的,其實就是依照《資通安全法》的要求,建立資安聯防機制,成立H-ISAC,強化關鍵基礎設施的防護能力,主要適用於公立醫院以及CI指定醫院;強度居次的,則是:將資安項目納入醫院評鑑的基準項目中,透過醫院評鑑基準的方式,引導並提高醫院的資安防護水準,主要適用於CI指定醫院以及其他非CI醫院;強度最弱的,則是:訂定各級醫療院所的資訊安全防護基準參考原則,是用對象除了CI指定醫院和非CI醫院外,還包含基層診所在內。

也就是說,資安長其實並不等同於傳統的資訊長。龐一鳴表示,醫院資安長所把關的範圍,遠遠大於傳統的資訊系統範圍,直接從傳統資訊機房、骨幹網路、醫療資訊系統等的IT系統,更進一步向外擴大到整體資通範圍,包括:各種行動化設備、OT裝置(例如醫療儀器、工控設備、工程電腦等),以及各種IoT物聯網裝置(例如環境控制系統、監視器等)。他說:「《資通安全法》是一套風險管理的法令規章,對醫療院所的適用範圍,其實就是監管整體醫療機構。」

既然臺灣的醫療院所都受到《資通安全法》的規範,醫院也必須參考該法相關的架構,制定相關的配套措施。所以,《資通安全法》制定後,適用的醫院,都必須依照先期計畫、持續運作、通報應變和協處改善等四個階段,制定相關的配套法案。

許多公立醫院以及指定的CI醫院,依照資安法規定,資安長需由副首長或適當人士兼任。從醫院提供的各種問卷和回收資料統計發現,臺灣醫院的資安長,八成以上是由副院長以上的高層主管兼任,但可惜的是,有資安長職稱的醫院不到一成。

CI醫院成立資安管理委員會,並設置副首長層級的資安長

資安稽核針對資安組織的部份,龐一鳴指出,可參考《基層醫療院所資安防護參考指引(草案)》,針對CI指定醫院的規定,應成立「資通安全管理委員會」,並且設置資安長的職位,掌管全院資安事宜;資安長下設單位,包括:負責訂定資安計畫的資通安全管理中心和執行資安計畫的執行單位,以及提供情資因應、緊急應變與負責稽核的機動小組。

龐一鳴直言,有許多系統設備或服務像是「消失的密室」,可能不在資訊長的掌握之中,例如:研究計畫案提供的醫療儀器輔助系統、監控設施及環控系統、廠商服務所提供的優規項目,甚至是一些不受管理的網路、電路,都可能串接醫院內部的網路架構等。這些都會是醫院資安的漏洞,也成為資安長必須掌握和把關的範疇。

更重要的是,必須以「全機關」為中心,從管理面、技術面,以及認知訓練面,制定資通安全維護計畫書。其中,在管理面的部分,除了須建立分級資通系統和設立防護基準,最關鍵的工作,就是要將資安管理系統全數導入核心資訊系統,並在三年內完成第三方驗證;同時,依照資安法對於A級機關的規定,聘請四位專職資安人員。

有八成CI醫院的資安長為副首長以上層級,他們大多具備醫療專業

依照2020年資安計畫實施情形、2021年資安維護計畫,以及2021年問卷調查內容的分析數據,公立醫院與指定CI醫院的資安長,有80%是執行長/院長/副院長層級;由單位部門主管兼任資安長占10%,有資安長職稱為7%,其他如院長室主任秘書兼任資安長則占3%。

龐一鳴表示,目前醫院資安長大多數為醫療人員兼任,有部分是資訊專業人員兼任,因為醫院資安長是醫院的決策階層,衛福部的立場並不會限制資安長的資格,讓醫院有更多的任用彈性。

醫院設立資安長的確是未來趨勢,不過,龐一鳴坦言,因為疫情關係,醫院評鑑已經停辦兩年,目前醫院評鑑的資安基準中,是以「是否加入醫療領域資安資訊分享與分析中心(H-ISAC)會員?」作為評鑑基準,設立資安長與否目前還不是醫院評鑑的固定評鑑項目。

龐一鳴也說,衛福部會透過《醫療法》的評鑑制度,導引資安防護的要求等同病人安全防護,要求公立醫院依法設立資安長,私立醫院則優先以鼓勵設立資安長的方式為主。


熱門新聞

Advertisement