衛生福利部資訊處處長龐一鳴:打造醫院資安與個資保護體系

「與近期我國成功防疫(COVID-19)一樣,去年8月衛福部與相關30多間院所遭受衍生型WannaCry惡意程式攻擊,而後能抵禦,相較於4年前WannaCry攻擊英國醫療機構,衝擊明顯為輕,此主要在於我國有完備的醫療三大法律架構,以及落實關鍵資訊基礎建設(CII)之防護措施。」衛生福利部資訊處處長龐一鳴表示。

「與近期我國成功防疫(COVID-19)一樣,去年8月衛福部與相關30多間院所遭受衍生型WannaCry惡意程式攻擊,而後能抵禦,相較於4年前WannaCry攻擊英國醫療機構,衝擊明顯為輕,此主要在於我國有完備的醫療三大法律架構,以及落實關鍵資訊基礎建設(CII)之防護措施。」衛生福利部資訊處處長龐一鳴表示。

衛生福利部資訊處處長龐一鳴
衛生福利部資訊處處長龐一鳴

三大法律架構為醫療法、個人資料保護法(簡稱個資法),以及資通安全管理法。醫療法主要對醫事機構、醫事人員、醫事業務等進行規範管理;個資法則避免人格權受侵害並促進個資合理使用;資通安全管理法則在於保護國家安全與維護社會公共利益。

醫療界推動資安聯防

龐處長逐一詳細說明個資法、資通安全管理法及醫療法。其中醫療法也將醫療器材納入管理,包含上市前必須查驗登記,上市後若有不良反應亦有通報辦法。此外有關醫療記錄、病例資料等則透過電子簽章、虛擬私有網路(VPN)等方式傳遞調閱,以確保資訊安全。

衛生福利部建立醫療領域的資安情資分享中心H-ISAC並鼓勵醫療院所加入資訊共享與聯防。
衛生福利部建立醫療領域的資安情資分享中心H-ISAC並鼓勵醫療院所加入資訊共享與聯防。

醫療法也對各醫療院所進行評鑑,由於資安問題日益嚴重,評鑑也將資安納入要求,目前已發佈地區醫院、區域醫院的評核基準與評核項目,醫學中心的基準與評項則待公告。

另外醫療為我國八大關鍵基礎設施之一,因此其資安防護需格外要求,對此衛福部已推動醫療領域的資安聯防,鼓勵醫院加入H-ISAC會員,同時也培養資安人才及提升其專業職能。在自有領域外也建立起跨域資安聯防機制、強化網路應變能量,並在前述的H-ISAC外也成立H-CERT、H-SOC。

H-ISAC彙整多種資安情資

處長進一步說明H-ISAC,H-ISAC的資安情資包含多個來源,如會員的通報、與N-ISAC交換而得的資訊,以及其他的情資來源,在獲知惡意程式與攻擊的新樣態後,才能擬定與落實新的資安防禦策略。

H-ISAC於2018年6月正式營運;H-CERT則於2019年8月上線;H-SOC外的各院所SOC仍在建置尚未全部完成。
H-ISAC於2018年6月正式營運;H-CERT則於2019年8月上線;H-SOC外的各院所SOC仍在建置尚未全部完成。

在落實醫療體系各面向的資安後,展望後續,衛福部規劃將醫療儀器的生命週期納入資安管理,從前期的採購評估到最終的汰舊換新回收均確保安全。或者也將進行資安事件通報應變處理演練、社交工程防制模擬演練。

還有許多方面是需要持續改善的。處長舉例:需要更多的誘因吸引醫療院所加入聯防機制、各院所的資安意識待提升、院所的資安人力也需要投入更多資源提升其能力,以及院所也當與其他部會、地方政府等共同聯防。

此外未來還有更多挑戰,隨著醫療儀器的智慧化,其資訊交換尚無法令規範,設備也缺乏認證機制的保障,還有雲端運用的問題,資訊一旦存到雲端便難以確認儲存地點,其資料管理的權責也待明確。

其他也包含資安盤點需納入營運技術(OT)領域的設備,管理與程序面必須擴大ISO 27001驗證範圍等。最後,因應這些新防護對醫療院所而言勢必會增加成本,增加的成本甚可能影響營運,對此需爭取健保總額來籌措經費,以利實現。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416