醫院如何把關委外廠商資安，北市聯醫資安長揭露8階段重點

臺北市立聯合醫院是臺灣最早設置資安長一職的醫院，上任2年多的北市聯醫資安長許世欣，在臺灣資安大會上分享把關委外廠商資安的經驗，涵蓋從投標、簽約、開發到終止等8個階段。他建議，醫院委外開發時，要特別注意系統防護需求等級，再來才是其他資安要求。另外，VPN存取權限也要嚴格把關，像北市聯醫自今年7月起，就要求廠商須通過ISO 27001認證，或通過北市聯醫資安查核者才能申請醫院VPN。

資安法上路2年，子法9大細則規範委外重點

許世欣指出，許多機構的資安事件，都與委外廠商有關。而上路2年的新版資安法，明定了企業對委外廠商的資安稽核規範，許世欣就是依此來制定委外審核標準。

他解釋，資安法第9條規範公務機關和非特定公務機關，必須選任合適的委外廠商，同時也要「監督」該廠商的資安維護情形。

根據這條法規，資安法施行細則第4條詳列了委外廠商9項把關重點。首先是企業委外給廠商的業務相關程序和環境，必須具備完善的資安管理措施，或通過第三方驗證。再來是委外廠商需有受過資安訓練的專業人員，而且，雙方須制定複委託的範圍、對象和資安維護措施，也就是「再發包」的範圍定義和資安防護措施。

第4是委外廠商不得涉及國家機密，執行人員應接受適任性檢查。再來是委外開發系統時，委外廠商須提出該系統的安全性檢測證明，而且，委外系統若是企業核心系統，或委外金額達1,000萬元以上，企業須自行或委託第三方機構來進行安全檢測。

第6，要是委外廠商發生資安事件，或違反資安法時，需立即通知企業並補救。委外關係終止時，廠商還必須銷毀、刪除或交還委託業務的資料。

最後，企業應定期稽核、確認委外案的執行情形，或得知委外廠商可能發生資安事件時也必須稽核執行情況。這也是許世欣特別強調必須落實的一點。

委外服務管理分8階段，第1階段要注意系統防護需求等級

根據這些規範，許世欣將企業委外服務分為8個階段，每個階段都有對應的資安重點。這些階段包括徵求建議書（RFP）、廠商投標、廠商得標與簽約、設計與開發、測試、驗收、系統上線，以及最後的維運。

在第1階段，RFP列出了委外廠商必須知道的一切資安要求，包括了上述每個階段的資安說明。以北市聯醫RFP資安要求專章為例，該專章有19條，一大重點就是如何準確評估系統的資安防護等級，分為普、中、高級，不同等級在資安法附表中的防護措施多寡不同，普級有31項、但高級則有76項。

再來，專章明定廠商的資格，也就是要通過ISO 27001驗證，且作業人員須受過資安訓練。

其他規範重點還包括，廠商應按SSDLC準則來開發和維運、要申請VPN遠端連線得符合一定資格(例如獲得ISO 27001認證，或通過資安查核)，才能獲得VPN權限。而且系統上線前，須檢測源碼風險、廠商需主動通報事件並配合相關應變與調查作業。最後，廠商也需配合醫院的開發環境訪查作業。

廠商投標要提供ISMS第三方證明，簽契約要繳交資安協議書

再來進入第2階段的廠商投標。這時，醫院要審核廠商的資訊安全管理系統（ISMS）第三方證明，以及資安教育證明，來確保品質。

而第3階段的契約簽署，有賴醫院提供院方資安規範文件，廠商也須簽署資安協議書和切結書，包括「委外廠商執行人員保密切結書」和「個人保密切結書」。在個人保密切結書中更要規定，廠商若有人員異動，必須馬上通知醫院，來降低權限外洩的風險。

在資安協議書方面，許世欣以北市聯醫的範本來說明，協議書分為IT和醫療儀器（OT）2種，每種都有42條選項。這些選項涵蓋人力資源管理措施和存取控制權要求，每一項還要區分醫院和廠商雙方對該項的同意權。要是廠商意願與醫院不同，可在空白欄說明。（如下圖）

依資安法規定，雙方在這個階段還需遵守「限制危害國家資通安全產品」，也就是避免使用特定生產者的產品。「這個規定有3大重點，」許世欣點出，第一是無特殊原因不得採購，第二是不得已採購時，需提供事理並由主管機關審核，最後是採用後，不得與公務網路環境介接。

設計開發要注重VPN權限、連線設備掃毒，測試需做好弱掃

接下來進入第4階段的設計與開發階段，這時，依最初的系統防護等級分類和對應的防護措施，廠商應依此繳交「SSDLC採取措施及驗證查核表」，來說明系統設計作法。

許世欣也根據這些規範，設計一套SSDLC查核Excel表（如下圖）。表中列出帳號管理的所有措施，再按等級以不同顏色來標註這些措施，如綠色為普、藍色為中、紅色為高，如果系統屬於高級，要必須做到3綠色、藍、紅所標註的措施。

此外，在系統設計開發階段，醫院也得注意委外廠商的行動裝置和遠距工作，特別是VPN連線權限、隨身碟等裝置的掃毒等。他強調，由於許多攻擊事件都透過VPN引發，為降低風險，北市聯醫自今年7月起，要求廠商必須通過ISO 27001認證，或通過北市聯醫的查核標準，才能申請醫院VPN。甚至，「廠商人員異動也需立即通知醫院，如此才能掌握使用權限，」他提醒。

同時，北市聯醫也針對IT和OT設計2套資安檢核表單，來確保廠商的管理作業，以及是否將開發、測試和運作環境區隔開來。在這個階段，要是廠商會用到非自行開發的系統，也需提交軟體授權證明。

接下來，進入測試階段時，廠商得做好源碼檢測和弱點掃描。

用SSDLC表來驗收，系統上線前應繳交緊急應變計畫

完成測試後，就進入第6階段的驗收。許世欣會用第4階段完成的SSDLC查核表，來核對廠商開發的系統是否符合。（如下圖）

不過，這份SSDLC表格多半適用於軟體。為顧及後來納入資安法管轄的OT，許世欣還另外設計一套資安封面查核表和醫療儀器管理系統，來整合不同廠商的OT資安檢核。

他也提醒，在系統上線前，廠商需提交緊急應變計畫，內容包括預防作業、整備作業、依情境描述的應變作業，以及復原作業等4大要點。

至於上線後的維運，還有4大資安要求，分別是事件通報、配合應變演練、配合事件調查報告，以及安全性檢測的修補。其中，事件調查報告部分要求廠商在事件發生的15天內，將報告提交給對口單位。

在這個階段，因資安法要求醫院監督委外廠商，北市聯醫就挑選2家風險極高的廠商，再加上上級機關臺北市政府的查核項目表，來稽核廠商。這時，廠商需配合準備受稽核文件，並針對缺失來改善。

最後，在契約終止階段時，廠商需配合法規規定，來返還、移交文件，並將資料移除設備或報廢。比如，「將X光機等醫療儀器中的暫存資料抹除，如此才算完成，」許世欣說。如此一來，就完成委外服務8階段的資安查核了。