近年,醫療體系為提供更便利的便民服務,同時推動電子病歷及因應COVID-19疫情需視訊看診的應用,也因此面臨嚴酷的資通安全(簡稱資安)的挑戰,惟近年也有發生多起的資安事件案例,如醫療院所遭勒索病毒攻擊,經查係有某些醫院主機遭駭客當成跳板,經由VPN網路進行攻擊。因此,本院資訊中心為持續提升員工的網路應用意識,以如辦理社交工程的實務演練方式,導引同仁瞭解及辨識網路釣魚攻擊,期可降低因誤觸導致資安事件之發生率。
考量我國特殊的政經情勢,而相對會有日益嚴峻的更高資安威脅下,行政院於2018年6月通過資通安全管理法,並自2019年開始實施,以推動落實並精進各項重要資通訊基礎建設及核心系統的資安防護工作。其所納管規範對象包含公務機關及特定非公務機關,要求受規範對象執行風險管理,建置資安防護機制,並於發生資安事件時,能立即通報並應處,各機關(構)在配合推動各項資安防護策略及措施時,都應不斷地問「準備好面對了嗎?」
本院參照行政院核定屬「特定非公務機關資安責任等級B級」,辦理相關防護基準,由管理面、技術面、認知與教育訓練等三個構面進行必要防護措施的規劃及落實。當然,在推展資安各項防護作為的過程,最重要的環節是人員共識與組織文化的形成,所以邀請同仁夥伴積極參與「資訊作業委外安全管理」及「資通系統開發及維護安全」等的教育訓練,同時也邀請院內代表單位成立資安暨個資保護推動組織,同時參酌實務需要調整本院資通安全管理制度(ISMS)暨個人資料保護管理制度(PIMS)規範,並定期實施內、外部稽核以確保落實資安作為,依規定盤點範圍應涵蓋全院系統,因此本年度盤點系統及委外服務之資通訊系統亦為重點之一。
資安防護的基礎功首要就是盤點機構內的「資訊資產清冊」與「個資檔案清冊」,並評估重要核心系統的「風險」。為強化本院在資安責任等級的升級,將依過往執行經驗,滾動式再檢視本院現有資安與各管理制度及規範,並綜整整體的風險評估結果執行風險處置管理,以及分階段完成先導單位之資安防護作業,接續再擴大至全院各單位參與。
本院為落實資安改善措施,不定期針對各系統進行資安抽樣健檢,從現況分析與研擬執行方案個資議題延伸至資安議題,而本院「營運續管理程序」現以「關鍵業務」或「核心資通系統」為範疇。列舉說明:當系統於個資盤點清冊中顯示,風險衝擊程度之MTPD(最大可容忍中斷時間)、RTO(回復時間點目標)、RPO(資料回復點目標)均為一天內,屬高風險有風險疑慮者,因而判定為應追蹤之風險值 > 3;是否納入核心之關鍵業務,進而受到相關規範,提升資安防護,須由單位評估,惟防護會帶來人力、物力、財力等相對成本,甚至更高,故須審慎評估納入考量。透過資安活動,業務負責人對系統已有相當掌握,亦促使相關人員對資安議題更甚瞭解,利於追蹤「國家衛生研究院個人資料風險處理計畫」之「擬採取之改善措施」,將可協助修訂符合實際可執行之改善措施管理辦理。
資安的推動是一項永無止境的工作,依循著PDCA的循環機制持續精進與滾動修正各項防護工作;因此,除了需有能提供統籌資源的資安長外,對如何掌握機構內的重要資訊資產及核心系統的運作,並能檢視資安稽核的落實及改善,定期審視資安團隊呈報的檢核結果及籌組具資安應變處理能力的團隊等,也都是相關的配套措施。當然,能有可信任的資安人員規劃各項資安之事前、事中、事後工作,同時確保具處理資安事件實務能力的行政及技術團隊,並定期進行模擬演練及建立辦理資安工作的獎勵機制,都可使組織推動資安工作更落實。另外,資安運作環境也應保持零信任的觀點,隨時保持資安監測機制的正常最佳狀態,並同時有內外部兼顧,縱橫向兼備的防禦深度,相信可有效提升組織的資安防護強度及安全度。
文:資訊中心資安小組/圖:資訊中心賴寰
