【醫院設立資安長的必要性】資安法成醫院評鑑依據，公立及CI醫院需設資安長

蔡英文總統上任以來，積極推動「資安即國安」的國家政策，並且在2019年1月1日，正式實施《資通安全法》，作為公務機關及特定非公務機關的資安準則。其中，特定非公務機關除政府機關外，還囊括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院及高科技園區，總計八大關鍵基礎設施，還包括公營事業和特定法人機關；而臺灣目前已有46家醫療院所被指定為關鍵基礎設施醫院，也必須受到《資通安全法》的規範。

臺灣醫療院所分成四大類：公私立醫學中心、區域醫院、地區醫院，以及基層診所，其中，衛生福利部已經陸續指定46家公、私立醫學中心和區域醫院，作為CI（關鍵基礎設施）的指定醫院。

衛生福利部資訊處處長龐一鳴表示，臺灣醫院最重視醫院評鑑，為了讓醫院更重視資安，衛福部之前曾特別宣布，將ISO 27001的ISMS資通安全管理列為醫院評鑑項目，後來在2019年醫院評鑑的資訊資安項目，改以符合《資通安全法》作為醫院評鑑資安項目的基準。

龐一鳴進一步解釋，《資通安全法》作為醫院評鑑的基準項目，但醫院有分成公立和私立醫院，公立醫院中，還分為不同部會管理。他表示，若依照《資通安全法》的架構，公立醫院屬於公務機關，私立醫院中，則只有部分被指定為CI醫院，才是符合《資通安全法》所謂的「特定非公務機關」。

龐一鳴強調，上述公立醫院及部分特定非公務機關的指定醫院，都必須符合《資通安全法》的法遵要求，像是公務機關要求應設置「資通安全長」，由機關首長指派副首長或適當人員兼任，所以，公立醫院及指定的CI醫院，都必須依照該法，指派副首長或適當人選兼任資安長一職，對於其他的私立醫院，並沒有強制要求遵循資安法規範。關於設立資安長一職，雖然政府採取鼓勵態度，但因為醫院評鑑「稽核事項」中，有資安架構的相關事項，所以衛福部認為，醫院設立資安長的強度，屬於行政程序法所定義的「行政指導」。

也就是說，公立醫院和CI指定醫院依照資安法規定，必須強制設立資安長一職，其他私立醫院雖然不設立資安長也不違法，但主管機關衛福部仍然可以採用其他「鼓勵」方式，要求私立醫院朝著設立資安長的目標前進。

資通安全法的法遵強度最高，已經成為醫院評鑑的重要項目

不過，要落實資安，龐一鳴認為，除了要有強烈法規遵循的要求外，對醫院而言，當資安已經成為醫院評鑑和稽核的一環時，稽核就會著重在「資安組織」、「決策方式」、「管理制度」、「資源配置」以及「組織文化」。

以法遵要求而言，為了強化醫院對於資安的防護措施，衛福部在政策推動上，也有不同強度的措施。

強度最高的，其實就是依照《資通安全法》的要求，建立資安聯防機制，成立H-ISAC，強化關鍵基礎設施的防護能力，主要適用於公立醫院以及CI指定醫院；強度居次的，則是：將資安項目納入醫院評鑑的基準項目中，透過醫院評鑑基準的方式，引導並提高醫院的資安防護水準，主要適用於CI指定醫院以及其他非CI醫院；強度最弱的，則是：訂定各級醫療院所的資訊安全防護基準參考原則，是用對象除了CI指定醫院和非CI醫院外，還包含基層診所在內。

也就是說，資安長其實並不等同於傳統的資訊長。龐一鳴表示，醫院資安長所把關的範圍，遠遠大於傳統的資訊系統範圍，直接從傳統資訊機房、骨幹網路、醫療資訊系統等的IT系統，更進一步向外擴大到整體資通範圍，包括：各種行動化設備、OT裝置（例如醫療儀器、工控設備、工程電腦等），以及各種IoT物聯網裝置（例如環境控制系統、監視器等）。他說：「《資通安全法》是一套風險管理的法令規章，對醫療院所的適用範圍，其實就是監管整體醫療機構。」

既然臺灣的醫療院所都受到《資通安全法》的規範，醫院也必須參考該法相關的架構，制定相關的配套措施。所以，《資通安全法》制定後，適用的醫院，都必須依照先期計畫、持續運作、通報應變和協處改善等四個階段，制定相關的配套法案。

許多公立醫院以及指定的CI醫院，依照資安法規定，資安長需由副首長或適當人士兼任。從醫院提供的各種問卷和回收資料統計發現，臺灣醫院的資安長，八成以上是由副院長以上的高層主管兼任，但可惜的是，有資安長職稱的醫院不到一成。

CI醫院成立資安管理委員會，並設置副首長層級的資安長

資安稽核針對資安組織的部份，龐一鳴指出，可參考《基層醫療院所資安防護參考指引(草案)》，針對CI指定醫院的規定，應成立「資通安全管理委員會」，並且設置資安長的職位，掌管全院資安事宜；資安長下設單位，包括：負責訂定資安計畫的資通安全管理中心和執行資安計畫的執行單位，以及提供情資因應、緊急應變與負責稽核的機動小組。

龐一鳴直言，有許多系統設備或服務像是「消失的密室」，可能不在資訊長的掌握之中，例如：研究計畫案提供的醫療儀器輔助系統、監控設施及環控系統、廠商服務所提供的優規項目，甚至是一些不受管理的網路、電路，都可能串接醫院內部的網路架構等。這些都會是醫院資安的漏洞，也成為資安長必須掌握和把關的範疇。

更重要的是，必須以「全機關」為中心，從管理面、技術面，以及認知訓練面，制定資通安全維護計畫書。其中，在管理面的部分，除了須建立分級資通系統和設立防護基準，最關鍵的工作，就是要將資安管理系統全數導入核心資訊系統，並在三年內完成第三方驗證；同時，依照資安法對於A級機關的規定，聘請四位專職資安人員。

有八成CI醫院的資安長為副首長以上層級，他們大多具備醫療專業

依照2020年資安計畫實施情形、2021年資安維護計畫，以及2021年問卷調查內容的分析數據，公立醫院與指定CI醫院的資安長，有80％是執行長/院長/副院長層級；由單位部門主管兼任資安長占10％，有資安長職稱為7％，其他如院長室主任秘書兼任資安長則占3％。

龐一鳴表示，目前醫院資安長大多數為醫療人員兼任，有部分是資訊專業人員兼任，因為醫院資安長是醫院的決策階層，衛福部的立場並不會限制資安長的資格，讓醫院有更多的任用彈性。

醫院設立資安長的確是未來趨勢，不過，龐一鳴坦言，因為疫情關係，醫院評鑑已經停辦兩年，目前醫院評鑑的資安基準中，是以「是否加入醫療領域資安資訊分享與分析中心（H-ISAC）會員？」作為評鑑基準，設立資安長與否目前還不是醫院評鑑的固定評鑑項目。

龐一鳴也說，衛福部會透過《醫療法》的評鑑制度，導引資安防護的要求等同病人安全防護，要求公立醫院依法設立資安長，私立醫院則優先以鼓勵設立資安長的方式為主。