衛生福利部資訊處處長龐一鳴：打造醫院資安與個資保護體系

「與近期我國成功防疫 (COVID-19) 一樣，去年 8 月衛福部與相關 30 多間院所遭受衍生型 WannaCry 惡意程式攻擊，而後能抵禦，相較於 4 年前 WannaCry 攻擊英國醫療機構，衝擊明顯為輕，此主要在於我國有完備的醫療三大法律架構，以及落實關鍵資訊基礎建設 (CII) 之防護措施。」衛生福利部資訊處處長龐一鳴表示。

三大法律架構為醫療法、個人資料保護法（簡稱個資法），以及資通安全管理法。醫療法主要對醫事機構、醫事人員、醫事業務等進行規範管理；個資法則避免人格權受侵害並促進個資合理使用；資通安全管理法則在於保護國家安全與維護社會公共利益。

醫療界推動資安聯防

龐處長逐一詳細說明個資法、資通安全管理法及醫療法。其中醫療法也將醫療器材納入管理，包含上市前必須查驗登記，上市後若有不良反應亦有通報辦法。此外有關醫療記錄、病例資料等則透過電子簽章、虛擬私有網路 (VPN) 等方式傳遞調閱，以確保資訊安全。

醫療法也對各醫療院所進行評鑑，由於資安問題日益嚴重，評鑑也將資安納入要求，目前已發佈地區醫院、區域醫院的評核基準與評核項目，醫學中心的基準與評項則待公告。

另外醫療為我國八大關鍵基礎設施之一，因此其資安防護需格外要求，對此衛福部已推動醫療領域的資安聯防，鼓勵醫院加入 H-ISAC 會員，同時也培養資安人才及提升其專業職能。在自有領域外也建立起跨域資安聯防機制、強化網路應變能量，並在前述的 H-ISAC 外也成立 H-CERT、H-SOC。

H-ISAC 彙整多種資安情資

處長進一步說明 H-ISAC，H-ISAC 的資安情資包含多個來源，如會員的通報、與 N-ISAC 交換而得的資訊，以及其他的情資來源，在獲知惡意程式與攻擊的新樣態後，才能擬定與落實新的資安防禦策略。

在落實醫療體系各面向的資安後，展望後續，衛福部規劃將醫療儀器的生命週期納入資安管理，從前期的採購評估到最終的汰舊換新回收均確保安全。或者也將進行資安事件通報應變處理演練、社交工程防制模擬演練。

還有許多方面是需要持續改善的。處長舉例：需要更多的誘因吸引醫療院所加入聯防機制、各院所的資安意識待提升、院所的資安人力也需要投入更多資源提升其能力，以及院所也當與其他部會、地方政府等共同聯防。

此外未來還有更多挑戰，隨著醫療儀器的智慧化，其資訊交換尚無法令規範，設備也缺乏認證機制的保障，還有雲端運用的問題，資訊一旦存到雲端便難以確認儲存地點，其資料管理的權責也待明確。

其他也包含資安盤點需納入營運技術 (OT) 領域的設備，管理與程序面必須擴大 ISO 27001 驗證範圍等。最後，因應這些新防護對醫療院所而言勢必會增加成本，增加的成本甚可能影響營運，對此需爭取健保總額來籌措經費，以利實現。