北市联医资安治理再升级，ISMS资安验证范围今年要扩大到所有核心系统

台北市立联合医院资安管理中心资安长许世欣日前在台湾资安大会上，揭露自家医院的资安治理目标，包括了资安治理成熟度、ISMS资讯安全管理制度和验证，以及法规遵循等三大重点。其中，北市联医资安治理成熟度要在今年达到Level2管理型，法规遵循则是要在两年内，扩大ISMS管理制度验证范围，要导入至所有核心资通系统。

资安治理成熟度着重架构运作

台北市立联合医院是台湾少数独立设置资安管理中心的医疗机构。为因应去年上路的资安法，北市联医在前年就先成立资通安全管理委员会和资通安全咨询委员会，其下更设置了资安长职位，由原资讯室副资讯长许世欣担任资安长，掌管全院资安事宜。

后来，他们逐步制定出资安治理架构，其中的第一个目标──资安治理成熟度，着重于资安治理架构的运作。

这个架构可分为两层面（如图），底层核心由资安管理单位和执行管理单位组成，资安管理单位负责计划（Plan），再由执行单位执行（Do），接着双方共同检讨（Check）和行动（Act），以PDCA流程来确保资安管理系统的运作。

其中，资安管理单位就是资安管理中心，负责资安预防和管理作业，也负责与行政院资通安全处沟通，以及旗下的资讯局和卫生局。而执行单位涵盖了院内IT和OT的使用与保管单位，比如医工、工务、秘书、总务和人资等，甚至是外部厂商。

在资安管理单位和执行单位间，还包括了机动小组，也就是情资因应小组、紧急应变小组和稽核小组，来处理特殊事件。

再来，在架构运作上，经过底层两单位由PCDA产生的方案或计划，会进入第二层，交给管理委员会治理。他们的任务包括指导、评估，以及监督成果和绩效；同时，委员会也负责与上级机关和第三方验证机构的沟通。

许世欣指出，为评估架构运作，北市联医去年也根据行政院的41项资安评核标准，来设定资安治理成熟度目标。他们以能力度、41项得分占比来画分成熟度，首先，能力度可分为1至5级，成熟度可分为Level 1基础型、Level 2管理型，今年，北市联医的目标就是要达到Level 2管理型（如图）。也就是说，41项资安评核全都要达到能力度第2级，而且，至少要有32项要达到第3级。

不只如此，在他看来，要建立完善的资安运作架构，还需要适当的资安工具。北市联医将资安工具分为技术面和管理面两方向，其中，技术面着重于网页程式防火墙（WAF）、动态密码系统（OTP）、网络活动监测和资产管理（NAC），管理面则锁定资讯系统分级、营运冲击分析（BIA）、风险评鉴与处理、资通资产盘点等，北市联医也打造一些系统，比如风险评鉴，来加强管理。

逐年扩大ISMS管理验证范围，今年锁定所有核心资讯系统

在法遵方面，北市联医瞄准ISMS，要在两年内导入至所有核心系统、三年内完成公正第三方验证。许世欣表示，去年已将ISMS导入所有重要IT系统，今年除了要导入至所有核心IT系统外，还包括影像医学的OT，特别是具放射性和侵入性的仪器。

明年，北市联医要纳入更多OT，像是中央检验室、工务工控系统，后年则是要涵盖院区检验室、ICU监控系统，以及其他OT系统和仪器等。文◎王若朴