攝影/王若樸
臺北市立聯合醫院是臺灣最早設置資安長一職的醫院,上任2年多的北市聯醫資安長許世欣,在臺灣資安大會上分享把關委外廠商資安的經驗,涵蓋從投標、簽約、開發到終止等8個階段。他建議,醫院委外開發時,要特別注意系統防護需求等級,再來才是其他資安要求。另外,VPN存取權限也要嚴格把關,像北市聯醫自今年7月起,就要求廠商須通過ISO 27001認證,或通過北市聯醫資安查核者才能申請醫院VPN。
資安法上路2年,子法9大細則規範委外重點
許世欣指出,許多機構的資安事件,都與委外廠商有關。而上路2年的新版資安法,明定了企業對委外廠商的資安稽核規範,許世欣就是依此來制定委外審核標準。
他解釋,資安法第9條規範公務機關和非特定公務機關,必須選任合適的委外廠商,同時也要「監督」該廠商的資安維護情形。
根據這條法規,資安法施行細則第4條詳列了委外廠商9項把關重點。首先是企業委外給廠商的業務相關程序和環境,必須具備完善的資安管理措施,或通過第三方驗證。再來是委外廠商需有受過資安訓練的專業人員,而且,雙方須制定複委託的範圍、對象和資安維護措施,也就是「再發包」的範圍定義和資安防護措施。
第4是委外廠商不得涉及國家機密,執行人員應接受適任性檢查。再來是委外開發系統時,委外廠商須提出該系統的安全性檢測證明,而且,委外系統若是企業核心系統,或委外金額達1,000萬元以上,企業須自行或委託第三方機構來進行安全檢測。
第6,要是委外廠商發生資安事件,或違反資安法時,需立即通知企業並補救。委外關係終止時,廠商還必須銷毀、刪除或交還委託業務的資料。
最後,企業應定期稽核、確認委外案的執行情形,或得知委外廠商可能發生資安事件時也必須稽核執行情況。這也是許世欣特別強調必須落實的一點。
委外服務管理分8階段,第1階段要注意系統防護需求等級
根據這些規範,許世欣將企業委外服務分為8個階段,每個階段都有對應的資安重點。這些階段包括徵求建議書(RFP)、廠商投標、廠商得標與簽約、設計與開發、測試、驗收、系統上線,以及最後的維運。
在第1階段,RFP列出了委外廠商必須知道的一切資安要求,包括了上述每個階段的資安說明。以北市聯醫RFP資安要求專章為例,該專章有19條,一大重點就是如何準確評估系統的資安防護等級,分為普、中、高級,不同等級在資安法附表中的防護措施多寡不同,普級有31項、但高級則有76項。
再來,專章明定廠商的資格,也就是要通過ISO 27001驗證,且作業人員須受過資安訓練。
其他規範重點還包括,廠商應按SSDLC準則來開發和維運、要申請VPN遠端連線得符合一定資格(例如獲得ISO 27001認證,或通過資安查核),才能獲得VPN權限。而且系統上線前,須檢測源碼風險、廠商需主動通報事件並配合相關應變與調查作業。最後,廠商也需配合醫院的開發環境訪查作業。
廠商投標要提供ISMS第三方證明,簽契約要繳交資安協議書
再來進入第2階段的廠商投標。這時,醫院要審核廠商的資訊安全管理系統(ISMS)第三方證明,以及資安教育證明,來確保品質。
而第3階段的契約簽署,有賴醫院提供院方資安規範文件,廠商也須簽署資安協議書和切結書,包括「委外廠商執行人員保密切結書」和「個人保密切結書」。在個人保密切結書中更要規定,廠商若有人員異動,必須馬上通知醫院,來降低權限外洩的風險。
在資安協議書方面,許世欣以北市聯醫的範本來說明,協議書分為IT和醫療儀器(OT)2種,每種都有42條選項。這些選項涵蓋人力資源管理措施和存取控制權要求,每一項還要區分醫院和廠商雙方對該項的同意權。要是廠商意願與醫院不同,可在空白欄說明。(如下圖)
依資安法規定,雙方在這個階段還需遵守「限制危害國家資通安全產品」,也就是避免使用特定生產者的產品。「這個規定有3大重點,」許世欣點出,第一是無特殊原因不得採購,第二是不得已採購時,需提供事理並由主管機關審核,最後是採用後,不得與公務網路環境介接。
設計開發要注重VPN權限、連線設備掃毒,測試需做好弱掃
接下來進入第4階段的設計與開發階段,這時,依最初的系統防護等級分類和對應的防護措施,廠商應依此繳交「SSDLC採取措施及驗證查核表」,來說明系統設計作法。
許世欣也根據這些規範,設計一套SSDLC查核Excel表(如下圖)。表中列出帳號管理的所有措施,再按等級以不同顏色來標註這些措施,如綠色為普、藍色為中、紅色為高,如果系統屬於高級,要必須做到3綠色、藍、紅所標註的措施。
此外,在系統設計開發階段,醫院也得注意委外廠商的行動裝置和遠距工作,特別是VPN連線權限、隨身碟等裝置的掃毒等。他強調,由於許多攻擊事件都透過VPN引發,為降低風險,北市聯醫自今年7月起,要求廠商必須通過ISO 27001認證,或通過北市聯醫的查核標準,才能申請醫院VPN。甚至,「廠商人員異動也需立即通知醫院,如此才能掌握使用權限,」他提醒。
同時,北市聯醫也針對IT和OT設計2套資安檢核表單,來確保廠商的管理作業,以及是否將開發、測試和運作環境區隔開來。在這個階段,要是廠商會用到非自行開發的系統,也需提交軟體授權證明。
接下來,進入測試階段時,廠商得做好源碼檢測和弱點掃描。
用SSDLC表來驗收,系統上線前應繳交緊急應變計畫
完成測試後,就進入第6階段的驗收。許世欣會用第4階段完成的SSDLC查核表,來核對廠商開發的系統是否符合。(如下圖)
不過,這份SSDLC表格多半適用於軟體。為顧及後來納入資安法管轄的OT,許世欣還另外設計一套資安封面查核表和醫療儀器管理系統,來整合不同廠商的OT資安檢核。
他也提醒,在系統上線前,廠商需提交緊急應變計畫,內容包括預防作業、整備作業、依情境描述的應變作業,以及復原作業等4大要點。
至於上線後的維運,還有4大資安要求,分別是事件通報、配合應變演練、配合事件調查報告,以及安全性檢測的修補。其中,事件調查報告部分要求廠商在事件發生的15天內,將報告提交給對口單位。
在這個階段,因資安法要求醫院監督委外廠商,北市聯醫就挑選2家風險極高的廠商,再加上上級機關臺北市政府的查核項目表,來稽核廠商。這時,廠商需配合準備受稽核文件,並針對缺失來改善。
最後,在契約終止階段時,廠商需配合法規規定,來返還、移交文件,並將資料移除設備或報廢。比如,「將X光機等醫療儀器中的暫存資料抹除,如此才算完成,」許世欣說。如此一來,就完成委外服務8階段的資安查核了。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19