【H-ISAC新進展：衛福部】會員規章制度化也大秀醫院參與成果，兩策略擴大聯防規模

資安情資分享是預防資安事件的一大關鍵，衛福部為了提升醫療院所整體資安防護能量，早在2018年完成H-ISAC（醫療領域資安資訊分享與分析中心），陸續也將H-SOC和H-CERT功能進行整併。但是，光有H-ISAC平臺不夠，必須要有更多醫院加入才有意義。

目前衛福部參考「國家資安資訊分享與分析中心（N-ISAC) 」會員規章，訂定衛生福利部資安資訊分享與分析中心（H-ISAC）會員規章（草案），並積極邀請更多有經驗的醫院會員分享使用H-ISAC提升醫院資安防護能力的經驗，預計在2022年度通過（H-ISAC）會員規章，並且將H-ISAC會員數量，可以從既有的245個會員進一步增加。

制定H-ISAC會員規章草案，預計2022年通過

衛生福利部為了強化醫療院所的資安作為，不僅將《資通安全法》作為醫院評鑑的法源基準，醫院也必須參考該法相關的架構，制定相關的配套措施。

衛福部資訊處處長龐一鳴指出，雖然醫院評鑑因為疫情關係已經停辦兩年，但在2020年公布的「醫院評鑑補充資料表（草案）」第一篇經營管理的查核表中，第十一項資訊安全管理的評鑑基準，就直接以「是否加入醫療領域資安資訊分享與分析中心（H-ISAC）會員？」作為查核項目。

衛福部在2018年已經完成H-ISAC的建置，但只有平臺不足以發揮情資交換的影響力，為了鼓勵醫院加入進行情資分享，衛福部更參考「國家資安資訊分享與分析中心（N-ISAC) 」會員規章，訂定衛生福利部資安資訊分享與分析中心（H-ISAC)會員規章（草案），預計2022年通過該規章。

截至十月底已經有57家醫院加入H-SOC平臺，為了強化資安聯防的成效，未來將鼓勵更多CI以及非CI醫院成為醫院會員，同時開放提供醫院資訊服務的業者，加入該平臺成為廠商會員。

龐一鳴表示，要讓醫院做好資安防護，就必須推廣「資安即病安」，而H-ISAC就是一個情資分享的儀表板，透過將醫院代碼匿名化，讓各種資安攻擊事件可以如實地呈現在資安儀表板中。他也指出，未來，將會邀請更多醫院會員分享H-ISAC的使用經驗，也會鼓勵會員多看儀表板的相關內容，只要醫院資安主管願意多花時間看情資儀表板，一定會越看越有感覺，也越願意進一步分享資安情資；衛福部則會要求H-ISAC的建置業者，持續精進各種功能和操作介面。

圖片來源／衛福部
衛福部參考N-ISAC的機制草擬H-ISAC會員規章草案，分成醫院會員以及廠商會員兩種，預計2022年會通過相關會員規章，也希望透過更多醫院會員分享，可以鼓勵更多醫院會員加入H-ISAC。

依照資安法架構，加入H-ISAC成醫院評鑑基準

依照資安法架構的以先期計畫階段為例，醫院為了要落實醫院資安責任等級分級提報，必須制定《資通安全責任等級分級辦法》、《資通安全管理法施行細則》；在持續運作階段，必須制定《特定非公務機關資通安全維護計畫實施情形稽核辦法》。

在通報應變階段，醫院為了通報資安事件則必須制定《資通安全事件通報及應變辦法》；在協處改善階段，醫院必須提出稽核改善報告外，必須制定《資通安全情資分享辦法》、《公務機關所屬人員資通安全事項獎懲辦法》等。

衛福部也在2019年的「醫院評鑑基準及評量項目-區域醫院及地區醫院 」規範，第一篇「經營管理」中第1.4.4條文中明定：建立資安管理機制，制定系統當機緊急應變標準和風險管理計畫，並確保病人隱私和資訊安全。

至於符合項目裡面則明定，依照《資通安全法》應有資訊系統使用權限設定以防止資料外洩的資訊管理作業規範，確保病人個人隱私；設定資料正確性檢查、改善機制；資訊設備機房有門禁管制及防火設施，醫院的電子病歷應有病人資料異地或雲端備份功能；制定資訊系統故障緊急應變標準作業規範，並針對緊急應變計畫做演練及故障原因和處理改善；制定資訊系統風險管理計畫，進行風險管理分析、監測、管理與執行；加入H-ISAC會員，進行情資分享。

H-SOC會員目前只有57家，需要更多醫院投入

協助衛福部建置H-ISAC的數聯資安資深顧問吳俍穎表示，為了提高醫院資安防護能力，數聯資安和資策會合作，打造事前的H-ISAC，事中的H-SOC，事後的H-CERT。

H-ISAC在2018年6月完成，目前H-ISAC會員只有245家，將鼓勵其他四百多家非CI醫院，二萬多家基層診所，都可以加入H-ISAC的醫院會員。

吳俍穎表示，H-SOC在2020年11月開放CI指定醫院上傳資安事件單與醫院系統介接，並在2021年完成基礎設計，可以收容更多資安情資，運用SIEM進行專業的資安情資分析匯集指標情資。

他說，對於醫院資安長而言，更重要的是SOC資安戰情中心可以從管理者角度，提供何種資安分析情報，而監控情資越多元、情資越準確。

吳俍穎以H-ISAC情資為例，重點是，指揮官在戰情中心到底看到哪些分析數據，包括：前一個月和前二個月的情資分析，攻擊來自哪些國家？哪幾類攻擊手法最多？

衛福部的H-SOC也會將收集到的攻擊IP，透過H-ISAC第一時間通報到所有醫院，有越來越多的駭客會針對同類型產業發動攻擊；也會比對攻擊手法和各種CVE漏洞，也提供各種防火牆或是WAF（應用程式防火牆）設備阻擋駭客攻擊的規則等。光是2020年9月，H-SOC就直接阻擋長期監控的91個惡意IP位址。

只有一成醫院，將資通系統列為醫院核心業務

衛福部關鍵基礎設施資安工作推動專案辦公室專案經理吳伊婷表示，資安就是要界定你想保護的標的，包括：偵測非法入侵、抵禦非法行為及進行災害復原，最重要的是「鑑定核心業務」。

吳伊婷分析CI醫院所提交的2021年資安維護計畫內容，只有10.71％的CI醫院，將資通系統列為核心業務，其他CI醫院所界定的核心業務項目，都是醫療照護類別，有過半醫院（53.57％）將衛福部指定核心業務項目列為核心業務；另外有35.72％CI醫院，則將醫療診治照護服務、醫療作業管理、醫療業務、醫療服務，以及臨床醫療診斷、治療及護理照護作業，視為醫院的核心業務。

關於H-ISAC的會員權利責任，吳伊婷表示，最重要的重點在於提供更精準的資安情資，包括醫療設備資安情報以及IP入侵偵測及告警服務；另外，也會提供醫療儀器資源分享統計資訊，並進行資安事件通報，因為，資安事件發生在一家醫院或一百家醫院，造成的資安嚴重程度不一樣；其他就是要落實事前資安監控，有需要技術支援時，可以委由H-ISAC提供協助。

長庚醫院分享H-ISAC應用實例，有助提升資安防禦量能

長庚紀念醫院醫療資訊管理部副組長石蕙源在先前，也實際分享該醫院使用H-ISAC的經驗。他表示，醫院最重要的，就是將H-SOC情資儀表板完成介接測試，完成帳號申請、登入儀表板後，就可以看到最重要的兩個功能：戰情中心和醫院戰情趨勢儀表板。

他說，戰情中心會員版九項功能，最喜歡看新增案件總數，並比較過去三十天所有案件數總和，可觀察是否有第三、四級資安事件；看近三十天，有無相同IP位址是進行跨機關攻擊的來源IP，以及跨機關所使用的攻擊技術。

他表示，H-SOC透過燈號示警的方式，協助醫療機構進行資安預測燈號，一旦有資安威脅變化，可以即刻示警，也可以透過雷達圖顯示主要的資安威脅種類，也可以直接從儀表板看出目前威脅最嚴重的資安事件。

石蕙源實際使用過H-SOC後表示，戰情儀表板提供醫院可以了解醫療機構整體的資安威脅趨勢，並可以透過儀表板方式，即時得知當前整體威脅事件的種類、數量、手法和攻擊來源等，對於醫院在茲情事件的預防上有很大幫助。

石蕙源建議，未來H-ISAC可以新增更多同儕醫院的資安整體情資比較，有助於醫院檢視自身資安防護能量；他也建議H-SOC可增加更多介接的資安設備，擴大資安聯防的量能。

**更正啟示：衛福部截至2021年10月，H-ISAC會員245家，其中有57家會員設置SOC（資安監控中心）與衛福部H-SOC介接。內文已修正。