北市聯醫資安治理再升級，ISMS資安驗證範圍今年要擴大到所有核心系統

臺北市立聯合醫院資安管理中心資安長許世欣日前在臺灣資安大會上，揭露自家醫院的資安治理目標，包括了資安治理成熟度、ISMS資訊安全管理制度和驗證，以及法規遵循等三大重點。其中，北市聯醫資安治理成熟度要在今年達到Level2管理型，法規遵循則是要在兩年內，擴大ISMS管理制度驗證範圍，要導入至所有核心資通系統。

資安治理成熟度著重架構運作

臺北市立聯合醫院是臺灣少數獨立設置資安管理中心的醫療機構。為因應去年上路的資安法，北市聯醫在前年就先成立資通安全管理委員會和資通安全諮詢委員會，其下更設置了資安長職位，由原資訊室副資訊長許世欣擔任資安長，掌管全院資安事宜。

後來，他們逐步制定出資安治理架構，其中的第一個目標──資安治理成熟度，著重於資安治理架構的運作。

這個架構可分為兩層面（如圖），底層核心由資安管理單位和執行管理單位組成，資安管理單位負責計畫（Plan），再由執行單位執行（Do），接著雙方共同檢討（Check）和行動（Act），以PDCA流程來確保資安管理系統的運作。

其中，資安管理單位就是資安管理中心，負責資安預防和管理作業，也負責與行政院資通安全處溝通，以及旗下的資訊局和衛生局。而執行單位涵蓋了院內IT和OT的使用與保管單位，比如醫工、工務、秘書、總務和人資等，甚至是外部廠商。

在資安管理單位和執行單位間，還包括了機動小組，也就是情資因應小組、緊急應變小組和稽核小組，來處理特殊事件。

再來，在架構運作上，經過底層兩單位由PCDA產生的方案或計畫，會進入第二層，交給管理委員會治理。他們的任務包括指導、評估，以及監督成果和績效；同時，委員會也負責與上級機關和第三方驗證機構的溝通。

許世欣指出，為評估架構運作，北市聯醫去年也根據行政院的41項資安評核標準，來設定資安治理成熟度目標。他們以能力度、41項得分占比來畫分成熟度，首先，能力度可分為1至5級，成熟度可分為Level 1基礎型、Level 2管理型，今年，北市聯醫的目標就是要達到Level 2管理型（如圖）。也就是說，41項資安評核全都要達到能力度第2級，而且，至少要有32項要達到第3級。

不只如此，在他看來，要建立完善的資安運作架構，還需要適當的資安工具。北市聯醫將資安工具分為技術面和管理面兩方向，其中，技術面著重於網頁程式防火牆（WAF）、動態密碼系統（OTP）、網路活動監測和資產管理（NAC），管理面則鎖定資訊系統分級、營運衝擊分析（BIA）、風險評鑑與處理、資通資產盤點等，北市聯醫也打造一些系統，比如風險評鑑，來加強管理。

逐年擴大ISMS管理驗證範圍，今年鎖定所有核心資訊系統

在法遵方面，北市聯醫瞄準ISMS，要在兩年內導入至所有核心系統、三年內完成公正第三方驗證。許世欣表示，去年已將ISMS導入所有重要IT系統，今年除了要導入至所有核心IT系統外，還包括影像醫學的OT，特別是具放射性和侵入性的儀器。

明年，北市聯醫要納入更多OT，像是中央檢驗室、工務工控系統，後年則是要涵蓋院區檢驗室、ICU監控系統，以及其他OT系統和儀器等。文◎王若樸