医院如何把关委外厂商资安，北市联医资安长揭露8阶段重点

台北市立联合医院是台湾最早设置资安长一职的医院，上任2年多的北市联医资安长许世欣，在台湾资安大会上分享把关委外厂商资安的经验，涵盖从投标、签约、开发到终止等8个阶段。他建议，医院委外开发时，要特别注意系统防护需求等级，再来才是其他资安要求。另外，VPN存取权限也要严格把关，像北市联医自今年7月起，就要求厂商须通过ISO 27001认证，或通过北市联医资安查核者才能申请医院VPN。

资安法上路2年，子法9大细则规范委外重点

许世欣指出，许多机构的资安事件，都与委外厂商有关。而上路2年的新版资安法，明定了企业对委外厂商的资安稽核规范，许世欣就是依此来制定委外审核标准。

他解释，资安法第9条规范公务机关和非特定公务机关，必须选任合适的委外厂商，同时也要“监督”该厂商的资安维护情形。

根据这条法规，资安法施行细则第4条详列了委外厂商9项把关重点。首先是企业委外给厂商的业务相关程序和环境，必须具备完善的资安管理措施，或通过第三方验证。再来是委外厂商需有受过资安训练的专业人员，而且，双方须制定复委托的范围、对象和资安维护措施，也就是“再发包”的范围定义和资安防护措施。

第4是委外厂商不得涉及国家机密，执行人员应接受适任性检查。再来是委外开发系统时，委外厂商须提出该系统的安全性检测证明，而且，委外系统若是企业核心系统，或委外金额达1,000万元以上，企业须自行或委托第三方机构来进行安全检测。

第6，要是委外厂商发生资安事件，或违反资安法时，需立即通知企业并补救。委外关系终止时，厂商还必须销毁、删除或交还委托业务的资料。

最后，企业应定期稽核、确认委外案的执行情形，或得知委外厂商可能发生资安事件时也必须稽核执行情况。这也是许世欣特别强调必须落实的一点。

委外服务管理分8阶段，第1阶段要注意系统防护需求等级

根据这些规范，许世欣将企业委外服务分为8个阶段，每个阶段都有对应的资安重点。这些阶段包括征求建议书（RFP）、厂商投标、厂商得标与签约、设计与开发、测试、验收、系统上线，以及最后的维运。

在第1阶段，RFP需列出了委外厂商必须知道的一切资安要求，包括了上述每个阶段的资安说明。以北市联医RFP资安要求专章为例，该专章有19条，一大重点就是如何准确评估系统的资安防护等级，分为普、中、高级，不同等级在资安法附表中的防护措施多寡不同，普级有31项、但高级则有76项。

再来，专章明定厂商的资格，也就是要通过ISO 27001验证，且作业人员须受过资安训练。

其他规范重点还包括，厂商应按SSDLC准则来开发和维运、要申请VPN远端连线得符合一定资格(例如获得ISO 27001认证，或通过资安查核)，才能获得VPN权限。而且系统上线前，须检测源码风险、厂商需主动通报事件并配合相关应变与调查作业。最后，厂商也需配合医院的开发环境访查作业。

厂商投标要提供ISMS第三方证明，签契约要缴交资安协议书

再来进入第2阶段的厂商投标。这时，医院要审核厂商的资讯安全管理系统（ISMS）第三方证明，以及资安教育证明，来确保品质。

而第3阶段的契约签署，有赖医院提供院方资安规范文件，厂商也须签署资安协议书和切结书，包括“委外厂商执行人员保密切结书”和“个人保密切结书”。在个人保密切结书中更要规定，厂商若有人员异动，必须马上通知医院，来降低权限外泄的风险。

在资安协议书方面，许世欣以北市联医的范本来说明，协议书分为IT和医疗仪器（OT）2种，每种都有42条选项。这些选项涵盖人力资源管理措施和存取控制权要求，每一项还要区分医院和厂商双方对该项的同意权。要是厂商意愿与医院不同，可在空白栏说明。（如下图）

依资安法规定，双方在这个阶段还需遵守“限制危害国家资通安全产品”，也就是避免使用特定生产者的产品。“这个规定有3大重点，”许世欣点出，第一是无特殊原因不得采购，第二是不得已采购时，需提供事理并由主管机关审核，最后是采用后，不得与公务网络环境介接。

设计开发要注重VPN权限、连线设备扫毒，测试需做好弱扫

接下来进入第4阶段的设计与开发阶段，这时，依最初的系统防护等级分类和对应的防护措施，厂商应依此缴交“SSDLC采取措施及验证查核表”，来说明系统设计作法。

许世欣也根据这些规范，设计一套SSDLC查核Excel表（如下图）。表中列出账号管理的所有措施，再按等级以不同颜色来标注这些措施，如绿色为普、蓝色为中、红色为高，如果系统属于高级，要必须做到3绿色、蓝、红所标注的措施。

此外，在系统设计开发阶段，医院也得注意委外厂商的行动装置和远距工作，特别是VPN连线权限、随身碟等装置的扫毒等。他强调，由于许多攻击事件都透过VPN引发，为降低风险，北市联医自今年7月起，要求厂商必须通过ISO 27001认证，或通过北市联医的查核标准，才能申请医院VPN。甚至，“厂商人员异动也需立即通知医院，如此才能掌握使用权限，”他提醒。

同时，北市联医也针对IT和OT设计2套资安检核表单，来确保厂商的管理作业，以及是否将开发、测试和运作环境区隔开来。在这个阶段，要是厂商会用到非自行开发的系统，也需提交软件授权证明。

接下来，进入测试阶段时，厂商得做好源码检测和弱点扫描。

用SSDLC表来验收，系统上线前应缴交紧急应变计划

完成测试后，就进入第6阶段的验收。许世欣会用第4阶段完成的SSDLC查核表，来核对厂商开发的系统是否符合。（如下图）

不过，这份SSDLC表格多半适用于软件。为顾及后来纳入资安法管辖的OT，许世欣还另外设计一套资安封面查核表和医疗仪器管理系统，来整合不同厂商的OT资安检核。

他也提醒，在系统上线前，厂商需提交紧急应变计划，内容包括预防作业、整备作业、依情境描述的应变作业，以及复原作业等4大要点。

至于上线后的维运，还有4大资安要求，分别是事件通报、配合应变演练、配合事件调查报告，以及安全性检测的修补。其中，事件调查报告部分要求厂商在事件发生的15天内，将报告提交给对口单位。

在这个阶段，因资安法要求医院监督委外厂商，北市联医就挑选2家风险极高的厂商，再加上上级机关台北市-的查核项目表，来稽核厂商。这时，厂商需配合准备受稽核文件，并针对缺失来改善。

最后，在契约终止阶段时，厂商需配合法规规定，来返还、移交文件，并将资料移除设备或报废。比如，“将X光机等医疗仪器中的暂存资料抹除，如此才算完成，”许世欣说。如此一来，就完成委外服务8阶段的资安查核了。