面對日益嚴峻的資安威脅,你準備好面對了嗎?

近年醫療體系發生了多起的資安事件,如22家醫療院所遭勒索病毒攻擊,經查係有某些醫院主機被駭客當成跳板,經由VPN網路進行攻擊。面對全球普及、便利且複雜多變的資通訊網路環境,以及我國特殊的政經情勢,資安威脅日益嚴峻下,行政院在2018年6月通過《資通安全管理法》,並自2019年開始實施,以推動落實並精進各項重要資通訊基礎建設及核心系統的資安防護工作,其所納管規範對象包含公務機關及特定非公務機關,要求受規範對象進行風險管理,建置資安防護機制,並於發生資安事件時,能立即通報並應對,各機關(構)在配合推動各項資安防護策略及措施時,都應不斷地問自己「你準備好面對了嗎?」

行政院於去(2019)年6月中正式核定本院之資通安全責任等級為B級,院方隨即於2019年12月11日經院務會議核定通過《資通安全暨個人資料保護管理委員會設置要點》(以下簡稱設置要點),設置「資通安全暨個資保護管理委員會」,綜責院內推動資安法與個資法相關規定的責任。

衛生福利部也於去(2019)年底辦理醫療領域H-CERT通報說明會,對資通安全事件通報與應變處理進行宣傳及說明,依此本院亦規劃提報「資通安全事件通報及應變管理程序」並已核定,俾便據以為面對資安事件發生時相關人員可依此程序進行通報及應變作業,同時為精練院內資安應變通報熟練度,以提升資安事件時的處理應變能力,也將規劃辦理通報應變演練作業。

資安防護的基礎功首要就是進行機構內的「資訊資產清冊」與「個資檔案清冊」盤點,並評估重要核心系統的風險。為強化本院提升資安責任等級,初步將重新規劃資安與個資管理制度及規範,並分階段首先完成先導單位之資安防護作業,再接續擴大至全院各單位參與綜觀整體的風險評估結果進行風險處置與管理,同時參照行政院的防護基準,由策略面、管理面、技術面等三個構面進行必要防護措施的規劃及落實。當然在資安各項防護作為的推展過程中,最重要的環節即是人員共識與組織文化的形成,所以鼓勵同仁夥伴積極參與「資訊作業委外安全管理 」與「資通系統開發及維護安全」等的教育訓練。

在此也要提醒,資安法與個資法目前皆已屬法律位階的規定,有別以往為行政要求層次的規範,如特定非公務機關未訂定資安維護計畫或提報之維護計畫未依審核修正、未依規定訂定通報應變機制或通報資安事件等皆訂有罰則,同時對非公務機關違反個資蒐集、處理或利用之規定,主管機關更可處罰鍰。此外,個資法還有團體訴訟的規定,對於同一事實造成多數當事人權利受侵害之事件,亦須負損害賠償責任。

爰為提升本院資訊安全及個資保護之各項措施已陸續推動展開,勢必增加相關管理與作業所需的資源投入,惟面對資通訊各項安全威脅,本院擔負衛福體系的重要智庫,所參與的各項醫、衛、健康照護等相關研究及發展,如精準健康照顧、生物製藥、疫苗開發等,都是當前重要的任務,所以更應配合國家資安政策與推動時程積極因應及準備,同仁們亦應充分配合各項資安與個資防護作業之推動,共同為本院的資訊安全防護努力,相信除保護院內各項重要的研發資產外,更將是攸關組織永續發展經營的命脈。

文/圖:資訊中心林瑞龍

Comments are closed.