臺北市立聯合醫院資通安全管理中心資安長 許世欣 (攝影/洪政偉)

兩年前的夏天,資安事件頻傳,甚至連政府機關也遭殃、百萬筆個資遭竊,引起軒然大波。當時,「我們總院長馬上指示籌畫成立資安專責部門,來把關醫院資安,」臺北市立聯合醫院資通安全管理中心資安長許世欣說道。

那時起,臺北市立聯合醫院(簡稱北市聯醫)連月籌畫,找來各院區代表和院外專家,在2018年11月正式成立資通安全管理委員會和資通安全諮詢小組,其下設置資通安全管理中心(簡稱資安中心)和資安長一職,由原本資訊室副主任的許世欣擔任。

北市聯醫設置資安中心一舉,開創了臺灣大型醫院先例。這個作法,也呼應了數個月後上路的資通安全管理法。2019年元旦,資通安全管理法正式實施,對醫院而言,資安把關不再只是整體資訊(IT)範疇,還擴大到所有醫療儀器設備(OT),像是檢查儀器、事務機、水電器支援設施等,等於是全機關都落在資安法管轄範圍內,因此得由一個獨立組織來負責,「就好比醫院中的勞安部門一樣,」許世欣說。

資安中心從預防和管理下手,把關IT和OT三大單位

為把關全機關資安狀態,在組織設計上,北市聯醫任命資安長來管理資安中心、機動小組、執行管理單位等三大單位。其中,資安中心肩負預防和管理兩大任務,在預防方面,除了例行性的掃描和偵測作業外,還涵蓋了資通系統防護分級、系統控制、風險評鑑、情資事件通報和管理,以及演練和人員訓練。

而管理就不一樣了。進一步來說,管理作業涉及資安政策和年度計畫擬定,以及資安治理成熟度評估、第三方驗證、內部稽核和法遵檢核等工作。

舉例來說,去年中行政院將北市聯醫資安責任等級評定為B級,醫院除了得每年評估資安治理成熟度外,還需在3年內達到B級所有核定項目要求。於是,資安中心依此擬定年度目標,像是今年要完成所有核心IT系統與部分影像OT的資訊安全管理系統ISMS驗證,明年則擴大至中央檢驗室和水電器等工務工控設備,後年則要將各院區OT和門禁、監視器等設備納入查核範圍。

除了資安中心業務,資安長還得依需要籌組非常設性機動小組。許世欣指出,這個小組依任務性質成立,可分為情資因應小組、緊急應變小組和稽核小組等三種。比如,當資安中心接收外部單位發送的情資時,會先依情資性質來填寫表單,再交由資訊管理單位組成情資因應小組,來處理和簽核表單內容;又或是,當資料庫或應用系統(AP)出現問題時,資安中心就會找來相對應的負責人,成立緊急應變小組來處理。

同樣在資安長把關範圍內的,還有執行單位。執行單位是指院內IT與OT的使用和保管單位,比如資訊單位、醫工、工務、秘書、總務和人資,甚至委外廠商也包括在內。

在許世欣眼中,OT是把關重點,因為,「許多資安事件往往是從意想不到的設備引發,比如事務機、檢驗儀器等。」也因此,他積極推動設備儀器納入ISMS第三方驗證,也計畫將委外廠商納入查核範圍,來嚴格管控供應設備。

自建系統盤點IT與OT,還要利用BI來分析資料

為加強醫療IT和OT資安風險管理,資安中心還自行開發了六套系統,在今年4、5月陸續上線。這六個系統分別是資訊系統分級、資通資產盤點、營運衝擊分析(BIA)、風險管理、系統防護基準管理,以及新添資安管理功能的醫療儀器管理系統。

為何要自行開發?許世欣指出,行政院將資安風險盤點和評鑑分為高階和詳細兩種,「高階以普、中、高等級來評等,較傾向自由心證,」而詳細版則提供操作型定義,讓使用者勾選。他認為,在院內實行兩套資安評等方法,容易造成混淆,因此他選定詳細版,並自行開發這些系統,能依操作性選答來計算資安風險程度。

比如,以IT風險評鑑來說,脆弱性被利用難易度選項可分為三種,分別是「已確實執行脆弱點之控制措施」、「脆弱點已建立控制措施,但未能完全避免威脅」以及「脆弱點尚未建立控制措施」,由資產管理人依實際狀況勾選。接著,系統會依選答加上CIA資產價值、乘以威脅值,最後計算出該筆資產之風險值。此外,這些系統還會提供計算公式與說明,讓作答者一目了然。

不只IT,醫療儀器OT盤點系統則以醫院原有的醫療儀器管理系統為基礎,再加上增修檢核表而成。醫療儀器盤點檢核表由各院區使用單位和醫工同仁填寫,資訊單位和委外廠商則扮演協助角色。除了法定選項外,許世欣還加上了其他問項來強化醫儀設備的安全管理,比如是否為資通設備、有無防火牆、有無組態紀錄,以及IP位置等。

在他看來,自建系統優於傳統Excel表格紀錄,有多種好處,比如方便跨單位檢視及追蹤,而且,「資料量累積足夠後,也能利用商業分析(BI)工具來分析趨勢。」

資安治理以PDCA為底層核心,另由委員會審核推動資安新政

提高醫療OT資安意識的最好方法,就是透過內外部案例來溝通、提升認知。──臺北市立聯合醫院資安長 許世欣 (攝影/洪政偉)

為落實資安政策,還得有一套治理架構。為此,北市聯醫制定了資安治理架構,分為兩大部分,首先是由資安管理單位和執行管理單位組成的底層核心,再來是上一層的治理單位,也就是負責指導、監督和評估的資通安全管理委員會。

以底層核心來說,資安管理單位就是資安中心,執行單位就是院內IT和各OT單位,兩者以連續管理流程PDCA來互動。亦即,資安中心負責規畫(Plan)資安目標,執行單位負責執行(Do),接著雙方共同檢討(Check)成效,並以行動(Act)來改善。

再來,經由PDCA產生的方案或計畫,會進入上一層,交給管理委員會處理。許世欣表示,管理委員會共有27人,由各院區代表、院外專家,以及臺北市政府衛生局、資訊局長官等人組成。他們的任務包括指導政策或計畫、監督成果和績效,並進行整體評估;此外,他們也負責與上級機關和第三方驗證機構溝通。

許世欣也舉例說明資安治理架構的運作流程。前陣子,為進行資安法規定的委外廠商管理評鑑,他與北市聯醫配合的資安廠商一起訪查醫院的委外IT廠商,結果發現該廠商資安水準不到位,特別是「機房管制不佳,」比如將機櫃置於辦公室中,或將數臺主機擺在桌上,作為Server Farm。他認為,這樣的配置十分容易遭受惡意攻擊。

於是,他回到辦公室的第一件事,就是擬定一份資安驗證計畫,要求這些委外廠商必須通過第三方資安驗證(如ISMS),或是通過北市聯醫的資安考核,才能取得醫院VPN帳號密碼、連進院內網路。「要是不通過,委外廠商就得親自到辦公室來處理問題。」

接著,在上個月的委員會議中,許世欣提交了這份計畫。後來,委員會也審核通過,決定於明年中開始實施這項政策,並由資安中心與執行單位來執行PDCA流程。

設定資安治理成熟度目標,今明後年都要達到Level 2管理型

根據行政院資通安全處公布的41項資安評核項目、能力度和成熟度指標,臺北市立聯合醫院資安長許世欣規畫出一套聯醫資安治理成熟度目標,今年至少要達到Level 2管理型,也就是說,院內資安相關流程不僅已執行,還要已管理;而且,41項檢核項目中,至少要有32項達到能力度第3級。圖片來源/許世欣

為評估資安治理架構,去年,北市聯醫參考了行政院資通安全處公布的41項資安評核項目、能力度和成熟度指標,來制定自己的資安治理成熟度目標。

進一步來說,這41個檢核項目涵蓋了資安治理的三大層面,也就是策略面、技術面、管理面,此外還涉及11個處理流程,像是資安資源管理、資產管理與風險評鑑、資訊委外管理,以及存取控制管理和資安事件通報處置等。

以能力度來說,行政院由低至高畫分了0至5等,0級表示未執行資安相關流程、1級為已執行流程、2級為已管理流程、3級是標準化流程(即流程已量化管理)、4級可預測流程,5級則是最佳化流程。

而成熟度可畫分為Level 0至Level 5,其中,Level 0為未成熟型,也就是尚未有效執行任何流程,Level 1基礎型則是已執行相關流程,且達成預設目標、能力度至少達到1級;Level 2管理型是指流程已管理,且能力度至少達到2級;Level 3則是制度化型,Level 4為可預測型,Level 5則是創新型。

於是,綜合以上資訊,許世欣以能力度、41項得分占比來畫分成熟度目標。今年,北市聯醫的成熟度至少要達到Level 2管理型,也就是41項資安評核都要達到能力度第2級,而且,至少要有32項達到第3級。至於明、後年目標,依然是Level 2管理型,不過,在41項資安評核項目中,明年至少要有36項達到能力度第3級,後年則是38項。

不只制定治理成熟度目標,北市聯醫也瞄準法遵,設定了ISMS驗證的導入目標。去年,北市聯醫已將所有重要IT系統導入ISMS驗證,今年,除了要將所有核心IT系統都導入驗證外,還要將影像醫學OT納入驗證範圍,特別是具放射性和侵入性的儀器。

而明年,北市聯醫要擴大驗證範圍,讓更多OT進行ISMS驗證,包括中央檢驗室、工務工控系統。後年,他們也要繼續擴大,將院區檢驗室、ICU監控系統、洗腎室OT,甚至其他系統如門禁管理、監視器等也納入資安驗證。

以資安事件強化OT資安意識

從北市聯醫資安目標中,不難看出對醫療OT的重視。然而,許世欣坦言,要提高OT單位的資安意識並不容易。「克服這個挑戰的最好方法,就是從內外部案例來溝通、提升資安認知。」

他舉例,去年資安中心接收到臺灣電腦網路危機處理暨協調中心(TWCERT)情資,指出院內IP曾出現在C2 Server上。於是,資安團隊聯手IT團隊啟動調查、檢視防火牆,發現是院內一臺醫療儀器中了殭屍網路病毒。

資安團隊藉著這個事件,與醫工OT單位溝通。找出儀器問題之餘,他們也宣導資安的重要性,比如儀器設備得進行存取限制,平時與外部廠商溝通時,也需留意軟體版本和資安防護措施。許世欣希望以事件溝通方法,來凝結同仁對OT的資安意識,進一步強化北市聯醫整體資安體質。

 CTO小檔案 

許世欣

臺北市立聯合醫院資通安全管理中心資安長

學歷:中國醫藥大學醫務管理研究所畢業

經歷:1982年於馬偕醫院資訊室任職,2002年擔任資訊室主任,8年後轉至勞工室,擔任主任一職。爾後於2017年進入臺北市立聯合醫院擔任資訊室副主任,2018年開始執行資安任務,是為資通安全管理中心資安長

 醫院檔案 

臺北市立聯合醫院

● 院本部地址:臺北市大同區鄭州路145號

● 成立時間:2005年

● 醫院簡介:隸屬於臺北市政府衛生局之公立醫院,醫療分級為區域型醫院,其下設置七大院區,院本部位於大同區中興院區

● 員工數:約6,000人

 資安管理中心檔案 

● 中心名稱:資通安全管理中心

● 中心人數:3人

● 中心分工:資通安全預防作業與管理作業

 中心大事紀 

● 2018年:11月成立資通安全管理中心

● 2020年:自建六套資安管理系統,於4、5月陸續上線

熱門新聞

Advertisement