資料來源:門諾醫院,iThome整理製圖,2021年12月

關於資通安全管理法的要求,對於公務機關的公立醫院,以及納入關鍵CI的私立醫院而言,管理落實與法規遵循都是不可迴避的挑戰。對此,去年8月,衛生福利部發布「基層醫療院所資安防護參考指引」,提供非資通安全管理法規範對象的私立醫院,以及基層診所參考。儘管這些機構可能只有專屬資訊人員,沒有專屬資安人力,也都能藉由這份指引做到自我檢核。

對於資安法納管的醫療院所而言,強化資安管理已是當務之急,不只從組織改造做起,設立資安長與資安管理委員會,建立資安組織架構,或是透過醫院聯防體系帶來幫助,對於組織本身而言,自身的資安管理與落實該如何進行,更是許多醫院都關注的焦點。

特別是在現行資訊及資通系統的盤點下,醫院需注重的資安範圍,已經不只是IT,還包括印表機、監視器與門禁等,以及OT的安全,也就是醫療儀器。

因此,原本對於資訊類採購的資安要求,在資安管理範圍日漸擴大的態勢之下,各式不同類但與資訊應用相關的採購案,其實也都需要納入資安要求。

管理非典型資訊契約需在採購階段介入,才能深化資安管理

該如何管理這些非典型資訊契約?曾擔任臺北市聯合醫院資安長,現為基督門諾醫院行政副院長許世欣提出說明。

早期資訊單位所談的資訊系統,並不涉及儀器設備,也不涉及工控設備,隨著2018年資安法的實施,現在不只是儀器設備納入管理,甚至還有水、電與氣體的供應面。這也意味著,過往醫院資安不管理的範圍,現在都成了需保護的範圍。

因此,如何管理所有資訊契約很重要,而這會與醫院的採購流程息息相關,從採購角度出發,他也提出特別說明,呼籲資安長或資安管理者,其實也要了解採購,並介入採購。

基本上,從醫院的採購類別,以及採購模式,可看出許多需注意的部分。例如,依據政府採購法第7條,醫院採購類別分為工程、財產與勞務類,各類別中均有一部分與資通安全有關,包括:工程類的建築、環境、交通、機械與電氣;財產類的設備;以及勞務類的資訊服務、營運管理與維修。

許世欣指出,基本上,只要使用網路就會與資通安全有關,其中特別要注意的是,例如,勞務面採購往往不會經過資訊與資安,是管理上需留心的地方。

若以醫院採購模式來看,資產類別可分為6種,包括:資產購入、租賃使用、營運拆帳、寄存寄銷、材帶設備與場域實驗。但是,在不同採購形式之下,會面對那些問題?他舉例,對於租賃使用的儀器或資訊設備,資訊人員往往認為這是廠商的資產,但從醫院角度來看,該設備需要受醫院管理,只是又會面對廠商給不給管的問題。還有像是材帶設備,也就是買試劑送設備,以及近幾年很多促進產業發展而進行的場域實驗計畫,同樣面對資產管理權責畫分挑戰。

更進一步來看,基本上,一般資訊設備採購與租賃的流程,過往已有詳細規範,因此資安人員與採購人員都很清楚,但從上述採購模式來看,很多時候,採購人員並不知道要通知資安人員,這就產生資安管理上的盲點, 包括醫療儀器的採購租賃,以及試劑採購、勞務採購、場域實驗等,這就是風險。

但無論如何,資安必須介入採購,才能避免一些醫院採購案,發生不受資安所掌控的狀況。許世欣以聯醫經驗為例,在醫療儀器納入資通與資安管理後,經過數次溝通與磨合,醫院採購與總務人員就會了解:當採購這類儀器設備時,必須通知資安管理單位,這時,也會將資安要求事項列於採購合約。

幫助醫院人員做到資訊契約識別,進一步做到有效落實

對於非典型資訊契約的管理,除資安要介入,採購要配合,法務也要支持。長庚醫院行政中心法律事務室專員蔡學莊從不同採購角度切入。

他表示,一般醫院資訊單位的典型資通契約,包含醫療資訊系統(HIS)、醫療影像儲存系統(PACS)、醫療檢驗系統(LIS)的建置/維運與伺服器,還有網站、App、網路連線、通訊設備、套裝軟體租借或採購等。基本上,這些可從合約名稱或是其功能,了解到明確涉及網路與資通訊,因此這樣的合約,在採購管理過程中,不容易忘記資訊契約應約定的資安要求。

但過去曾發生例外狀況。某醫材商出借檢查儀器給醫院使用,當中有廠商開發的系統,使用期間發生系統中毒造成資安事件,究其原因,是院方未能有效識別儀器租賃關係涉及資通系統所致。

因此,在這方面的資安管理上,蔡學莊指出兩大重點:首先需建立資訊合約的識別標準,其次是做好風險分級。

該如何做?他提供具體方式,例如,要建立資訊契約的識別標準,可從現有契約去盤點,這有助於我們認識那些平常不會注意到的非典型資訊契約。

同時,不要忘記履約過程中的相關資訊行為!因為,這是相當容易疏漏的部分。例如,在履約過程中,院方是否需要提供資訊給廠商或廠商人員處理,或是廠商人員是否需操作醫院電腦,在醫院系統上安裝任何軟硬韌體等。

另一方面,廠商與院方彼此可能存在風險程度認知的落差,例如,廠商可能覺得風險沒有那麼高,但院方認為有高風險,此時,可參考資通安全事件通報應變辦法規定,先做好風險分級標準,例如,高風險就是可能影響核心資通系統等,讓合約訂定時能依循。

特別的是,他強調,只要不是逐案檢視,就會有疏漏的問題,而且不能期待人員有足夠經驗,去識別出契約是否涉及資通系統。因此,在實務上,他建議可以設計一個表格,幫助資安契約盤點及風險評估。

在這樣的盤點評估表格工具中,可列出識別資通服務系統的6個特徵,讓業務需求單位以勾選方式評估,接下來,再讓實際參與契約履行的單位,勾選風險評估表格,並讓資安專責部門複審確認,再請業務需求部門通知廠商,簽署適用版本的資安承諾書。

這是因為,各種契約內容架構的差異大,要在每份合約找到相應位置增訂並不易,因此,另行制定資安承諾書,可避免個別契約增修內容不完整的情形。而且,資安承諾書其實無法一體適用,最好是依據資安風險,制定不同版本,像是低風險的類型,可以針對人員設計保密條款,但對於中高風險類型,法務也可與院內專業人員討論,再將具體要求納入承諾書當中。

最後,有關承諾書與合約條款方面的資訊,其實可參考行政院工程會的資訊服務採購契約範本,並找到與資通安全法第9條相關的內容。

識別資訊契約的6大檢核項目

為幫助醫療採購時不會忽略非典型資訊契約,建立資訊契約的識別工具,讓醫院業務需求單位能先行評估,及早通知資安專責部門複審,以下為6大檢核範例,可依實際需求增減內容。

 確認項目1  契約目的為委託/受託開發、建置、維運、維修或保養資通系統      

 確認項目2  契約目的為接受/提供資通服務      

 確認項目3  履約過程中,需提供本院資訊由廠商/廠商人員處理、儲存、傳輸或刪除      

 確認項目4  履約過程中,廠商/廠商人員可取得本院任何非對外開放之資通系統閱覽或存取權限

 確認項目5  履約過程中,廠商人員可使用、操作本院電腦或任何資通系統       

 確認項目6  履約過程中,需於本院資通系統安裝或設置任何軟硬韌體       

資料來源:長庚醫院,iThome整理,2021年12月

圖片來源:長庚醫院

熱門新聞

Advertisement