臺灣第一批醫院資安長現身，披露醫療資安管理者的兩難

自2019年資安法上路以來，不論是否為關鍵基礎設施，不少醫院管理階層，都多了一批前所未有的新角色，陸續新設置了資安長，來統籌全院資安事宜。 但是，這群臺灣第一批的醫院資安長們，也面臨很大的磨合課題，業務執行上也遭遇不少挑戰。在衛福部日前舉辦的醫療資安長共識營上，他們紛紛現身，道出第一線醫療資安的甘苦。

醫生角色與資安長定位的兩難，成了醫院管理架構新課題

「資安長角色應該是監督資安，而非做資安！」高醫副院長黃明國說道。如同多數醫院，高醫資安統籌由副院長負責，並非單獨設立一個資安部門，由資安長處理。

對醫師出身的黃明國來說，擔下資安管理這個工作，不只要懂IT，還得熟稔各種醫療儀器（OT）和IoT設備，甚至5G上線後，副院長得學習更多相關知識，來因應潛在的資安威脅。這對原本業務繁忙的副院長來說，會是個負擔，學習成效也不見得比具有IT背景的專業人員好。

因此他認為，資安長應定位為監督資安，而非執行資安專案。他建議衛福部，應在跨醫院資安情資分享與分析的H-ISAC會員章程中，明確規範資安長的角色，以及資安業務的執行、管理和監督單位。

另一方面，同為醫師背景出身的部立桃園醫院副院長陳厚全也表示，這幾年扮演資安長的經驗，讓他明顯意識到，醫院架構與角色對立的問題。他形容，對醫院來說，醫師往往會是潛在的資安威脅，因為，醫師執行醫療業務時，為求順利，多半會答應醫療設備廠商提出的要求，若高層反對，醫師則會以影響醫療業務、病人安全等原因，來說服高層長官。「這就容易打破資安規則，」他強調。

但在醫院管理架構中，院長、副院長幾乎都是醫師出身，這個安排，對各醫療單位的管理相當合適，但以相同架構來處理資安課題，就會造成衝突。

陳厚全舉例，部桃內部遭受的資安攻擊，不少情況的潛伏期至少超過6個月，「要是前端人員沒有資安觀念，後面用盡力氣補洞，效果也不會好。」他認為，醫師擔任資安長時，必須受到適當的訓練，才能取得平衡，而且要下定決心在事前解決問題，而非事後補救。

他也建議，院長、副院長等醫院高層得培養資安觀念，在面對醫師和各種醫療服務時，才能充分應對。

醫生與IT、資安的關係不純然只是對立，也需要互補。臨床醫師出身的奇美行政副院長鄭天浚強調：「資安要做好，合作比較重要。」他解釋，國家政策鼓勵醫院發展智慧醫療，醫院免不了要與外界傳遞資料，就會面臨資安和IT議題。

因此，醫院除了該整合IT與資安，在「資安作業的推動上，一定要有推動IT政策的人來參與！」他強調，唯有兩者合作，才能在第一線落實IT和資安，才不會各做各的。

獨立設置資安部門，才能全面推動

臺灣已有少數醫院獨立設置資安長而非兼任，童綜合醫院資安長王炳仁就是其中之一，他也認同，資安部門應獨立發展。他表示，衛福部及資訊處處長龐一鳴1年多前至童綜合醫院稽核，就建議醫院應單獨設置資安長，才不會與IT角色衝突。童綜合醫院採納這個建議，在院長室下設資安長，由原院長室副資訊長王炳仁來擔任。

不過，童綜合醫院單獨設置資安長了，還是會面臨一些角色衝突問題。王炳仁舉例，資安長旗下缺乏資安管理人才，現有的資安人力由資訊部調任，仍隸屬於資訊部，因此推動資安政策時，仍得透過資訊部。

另一個問題是，資安長推動資安政策時得有配套措施，比如，要關閉網路芳鄰，就得提供雲端磁碟，甚至在供應鏈處理上也是如此，資安長得在不同單位奔走，釐清設備購買限制。

這與他過去在資訊部的工作經驗大相徑庭，資訊長可專心維運醫療系統，資安長若要專心推行政策，就得設置獨立部門，才能實現。這也是王炳仁的期望和建議。

資安長面臨人力薪資問題，法遵可成為向上管理關鍵

彰化基督教醫院是早期就獨立編制資安長的醫院，彰基資安長粘良祁除了同意資安長會面臨角色定位衝突外，還分享了他面臨的另一類挑戰，也就是人才難覓。

「資安法要求A級醫院配置4位資安人員，但我上任2年了，還是找不到人。」粘良祁指出，2年來，資安處仍只靠他一人作業，今年初，為了留住一位資安人才，他不惜向上級努力爭取，得到比醫院慣例更高的待遇，但還是無法與業界相比，該名人才最終還是選擇薪資更高的公司，高就他處。

粘良祁點出，醫院間常以同儕最低薪資相互比較，這個最低薪資，甚至會成為醫院招人時的給薪參考。「大家都在比誰最低，但我希望醫院不要惡性競爭，」粘良祁認為，醫院IT和資安人員工作不易，應給予相當的待遇，這是醫療產業需調整之處。

臺北市立聯合醫院同樣是臺灣少數在2019年就設置獨立資安處和資安長職位的醫院，曾任北市聯醫資安長、現任門羅醫院行政副院長的許世欣表示：「做資安，最重要的還是主管態度。」高層樂意支持，資安政策推行就更容易。

他回憶，2019年資安法公布前幾個月，北市聯醫就下令獨立設置了資通安全管理委員會和資通安全諮詢委員會，他也從資訊室副資訊長的職位，轉任資安長，掌管全院資安事宜。在他任期內，也陸續與同仁建立不少資安制度，比如醫療儀器風險管理制度。之所以能專心推動資安策，他歸功於上級大力的支持。

不過，話鋒一轉，現今許多醫院全力發展智慧醫療，CIO、CDO等角色越受上級重視，資安長如何與這些CXO們競爭資源？

許世欣的方法很簡單，就是直白地告知法規應辦事項、需要投資，來與高層溝通，爭取應有的資源。他分享，當時，北市聯醫將資安與IT部門，設計為互相分工的單位，將資安處列為管理部門，資訊室則為執行部門。由資安處申請預算，通過後再由資訊室接手評選設備或服務，採購完成後再交由資安室負責執行。

聽到這些醫療資安長先鋒們的眾多甘苦和建議，衛福部資訊處處長龐一鳴也很清楚，在醫院中，不論是資訊長、數據長、數位長還是資安長，執行作業都得仰賴上層決策。所以，他也預告，衛福部計畫，明年醫療資安長會議將聚焦於領導力，來探討資安管理、領導議題。

 他山之石：金管會資訊服務處處長蔡福隆 
金融業如何分級強化資安整體韌性，推動跨產業聯防到內部應變制度化

金管會近年也大力透過不同政策要求，來強化金融產業的整體資安韌性，在這次醫療資安長會議，統籌金融資安政策的金管會資訊服務處處長蔡福隆，也現身揭露金融產業資安聯防和企業資安應變的推動經驗，作為醫界推動資安政策的參考。

「金融資安應變小組（CERT）機制，是以資源共享來規畫，」蔡福隆第一句話，就點出金融資安特別之處。這個由下而上的設計，先要求金融機構本身（如銀行、證券）要有自己的CERT，再上一層的金控，也要有專屬的CERT，如此就能共享資源，由金控支援體系下較弱的機構。

不只在企業內部，同樣原則也落實到金融跨產業的組織上，例如銀行公會和證交所都設置了應變小組，比如11月底才問世的證交所SF-CERT。要是金控難以支援自家銀行或證券，就能尋求銀行公會或證交所的應變小組。再擴大一步，當事件涉及跨業，金管會旗下還有更完整的金融資安資訊分享與分析中心（F-ISAC）和F-CERT，來提供資源。

光有互相支援的組織設計還不夠，金管會也要求金融機構落實災害應變機制，因為，「資訊不可能100%安全，得建立終極防護能量。」蔡福隆表示，金融業強化災害應變從3要點著手，一是營運持續，金融機構除了訂定最大可容忍的服務中斷時間，也得識別核心業務，進行壓力測試和演練。

再來是備援機制。為確保金融機構有足夠的復原能力，金管會要求，金融機構必須進行本地備援和異地備援，不只要在本地資料中心執行核心業務，還要在異地中心執行次要業務，如此，遭遇災害時就能彈性切換。同時，金管會也力推，金融機構每年將特定業務改由備援中心接手，執行一段時間再轉換回原中心，來驗證備援的可行性。

災害應變最後一要點是關鍵資料的保全。金管會鼓勵金融機構將備份、備援資料，如客戶、金融市場相關資料，儲存至第三方，「一個能做到網路切割、獨立的第三方，讓資料得到更妥善的保護，」蔡福隆說。

他強調，資安不只是IT的責任，更是全體的責任，他更以日前國泰世華ATM大當機事件引發民怨為例來說明。蔡福隆表示，這起事件，原是單純的Oracle資料庫升級與跨行系統升級，國泰世華在系統上線前，演練過兩種風險情境，一是新版本無法使用時，即時退回舊版，二是匯款業務由另一家銀行接手。

雖然演練時正常，但蔡福隆點出，到了複雜的正式環境運作卻出錯，這是國泰世華事先沒有料想到的。因此，行內處理過程，許多流程關卡得經過層層核准來決定能否放行，回應效率不彰，而他們的客服專線更沒有因應緊急事件而調整，而是如往常要求民眾輸入不同號碼來導流，更加劇了心急民眾的怒火。他舉例，若客服專線改為「請您留下電話，一有消息就會回撥」 的作法可能更好。蔡福隆還點出，媒體溝通也是一大重點，例如ATM當機後，國泰只發一篇新聞稿而難平民怨，金管會要求改善後，國泰不只追加新聞稿說明，也找來高階主管親自出面道歉後才平息抱怨聲浪。

綜觀這個事件，蔡福隆總結，緊急事件演練不只是IT，而是全體系都要參與的事，而且，客戶權益是緊急應變計畫中的重要一環，更得妥善處理。衛福部資訊處處長龐一鳴也建議醫界，可參考金融緊急應變作法，也能汲取金融資安長制度和經驗。