摄影/王若朴
台北市立联合医院是台湾最早设置资安长一职的医院,上任2年多的北市联医资安长许世欣,在台湾资安大会上分享把关委外厂商资安的经验,涵盖从投标、签约、开发到终止等8个阶段。他建议,医院委外开发时,要特别注意系统防护需求等级,再来才是其他资安要求。另外,VPN存取权限也要严格把关,像北市联医自今年7月起,就要求厂商须通过ISO 27001认证,或通过北市联医资安查核者才能申请医院VPN。
资安法上路2年,子法9大细则规范委外重点
许世欣指出,许多机构的资安事件,都与委外厂商有关。而上路2年的新版资安法,明定了企业对委外厂商的资安稽核规范,许世欣就是依此来制定委外审核标准。
他解释,资安法第9条规范公务机关和非特定公务机关,必须选任合适的委外厂商,同时也要“监督”该厂商的资安维护情形。
根据这条法规,资安法施行细则第4条详列了委外厂商9项把关重点。首先是企业委外给厂商的业务相关程序和环境,必须具备完善的资安管理措施,或通过第三方验证。再来是委外厂商需有受过资安训练的专业人员,而且,双方须制定复委托的范围、对象和资安维护措施,也就是“再发包”的范围定义和资安防护措施。
第4是委外厂商不得涉及国家机密,执行人员应接受适任性检查。再来是委外开发系统时,委外厂商须提出该系统的安全性检测证明,而且,委外系统若是企业核心系统,或委外金额达1,000万元以上,企业须自行或委托第三方机构来进行安全检测。
第6,要是委外厂商发生资安事件,或违反资安法时,需立即通知企业并补救。委外关系终止时,厂商还必须销毁、删除或交还委托业务的资料。
最后,企业应定期稽核、确认委外案的执行情形,或得知委外厂商可能发生资安事件时也必须稽核执行情况。这也是许世欣特别强调必须落实的一点。
委外服务管理分8阶段,第1阶段要注意系统防护需求等级
根据这些规范,许世欣将企业委外服务分为8个阶段,每个阶段都有对应的资安重点。这些阶段包括征求建议书(RFP)、厂商投标、厂商得标与签约、设计与开发、测试、验收、系统上线,以及最后的维运。
在第1阶段,RFP需列出了委外厂商必须知道的一切资安要求,包括了上述每个阶段的资安说明。以北市联医RFP资安要求专章为例,该专章有19条,一大重点就是如何准确评估系统的资安防护等级,分为普、中、高级,不同等级在资安法附表中的防护措施多寡不同,普级有31项、但高级则有76项。
再来,专章明定厂商的资格,也就是要通过ISO 27001验证,且作业人员须受过资安训练。
其他规范重点还包括,厂商应按SSDLC准则来开发和维运、要申请VPN远端连线得符合一定资格(例如获得ISO 27001认证,或通过资安查核),才能获得VPN权限。而且系统上线前,须检测源码风险、厂商需主动通报事件并配合相关应变与调查作业。最后,厂商也需配合医院的开发环境访查作业。
厂商投标要提供ISMS第三方证明,签契约要缴交资安协议书
再来进入第2阶段的厂商投标。这时,医院要审核厂商的资讯安全管理系统(ISMS)第三方证明,以及资安教育证明,来确保品质。
而第3阶段的契约签署,有赖医院提供院方资安规范文件,厂商也须签署资安协议书和切结书,包括“委外厂商执行人员保密切结书”和“个人保密切结书”。在个人保密切结书中更要规定,厂商若有人员异动,必须马上通知医院,来降低权限外泄的风险。
在资安协议书方面,许世欣以北市联医的范本来说明,协议书分为IT和医疗仪器(OT)2种,每种都有42条选项。这些选项涵盖人力资源管理措施和存取控制权要求,每一项还要区分医院和厂商双方对该项的同意权。要是厂商意愿与医院不同,可在空白栏说明。(如下图)
依资安法规定,双方在这个阶段还需遵守“限制危害国家资通安全产品”,也就是避免使用特定生产者的产品。“这个规定有3大重点,”许世欣点出,第一是无特殊原因不得采购,第二是不得已采购时,需提供事理并由主管机关审核,最后是采用后,不得与公务网络环境介接。
设计开发要注重VPN权限、连线设备扫毒,测试需做好弱扫
接下来进入第4阶段的设计与开发阶段,这时,依最初的系统防护等级分类和对应的防护措施,厂商应依此缴交“SSDLC采取措施及验证查核表”,来说明系统设计作法。
许世欣也根据这些规范,设计一套SSDLC查核Excel表(如下图)。表中列出账号管理的所有措施,再按等级以不同颜色来标注这些措施,如绿色为普、蓝色为中、红色为高,如果系统属于高级,要必须做到3绿色、蓝、红所标注的措施。
此外,在系统设计开发阶段,医院也得注意委外厂商的行动装置和远距工作,特别是VPN连线权限、随身碟等装置的扫毒等。他强调,由于许多攻击事件都透过VPN引发,为降低风险,北市联医自今年7月起,要求厂商必须通过ISO 27001认证,或通过北市联医的查核标准,才能申请医院VPN。甚至,“厂商人员异动也需立即通知医院,如此才能掌握使用权限,”他提醒。
同时,北市联医也针对IT和OT设计2套资安检核表单,来确保厂商的管理作业,以及是否将开发、测试和运作环境区隔开来。在这个阶段,要是厂商会用到非自行开发的系统,也需提交软件授权证明。
接下来,进入测试阶段时,厂商得做好源码检测和弱点扫描。
用SSDLC表来验收,系统上线前应缴交紧急应变计划
完成测试后,就进入第6阶段的验收。许世欣会用第4阶段完成的SSDLC查核表,来核对厂商开发的系统是否符合。(如下图)
不过,这份SSDLC表格多半适用于软件。为顾及后来纳入资安法管辖的OT,许世欣还另外设计一套资安封面查核表和医疗仪器管理系统,来整合不同厂商的OT资安检核。
他也提醒,在系统上线前,厂商需提交紧急应变计划,内容包括预防作业、整备作业、依情境描述的应变作业,以及复原作业等4大要点。
至于上线后的维运,还有4大资安要求,分别是事件通报、配合应变演练、配合事件调查报告,以及安全性检测的修补。其中,事件调查报告部分要求厂商在事件发生的15天内,将报告提交给对口单位。
在这个阶段,因资安法要求医院监督委外厂商,北市联医就挑选2家风险极高的厂商,再加上上级机关台北市-的查核项目表,来稽核厂商。这时,厂商需配合准备受稽核文件,并针对缺失来改善。
最后,在契约终止阶段时,厂商需配合法规规定,来返还、移交文件,并将资料移除设备或报废。比如,“将X光机等医疗仪器中的暂存资料抹除,如此才算完成,”许世欣说。如此一来,就完成委外服务8阶段的资安查核了。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09