在科技高度發達的現代，醫院的作業都已經廣泛利用資訊系統，不論處方、檢查、各項紀錄與流程管理，都透過電腦系統在運作。我們也提供遠距的服務，除了基本各類資料查詢與網路掛號外，還有遠距醫療與主動化通知等服務。可以說，現今醫院的運作，若不倚賴電腦系統，就如同回到石器時代。

　　雖然使用電腦系統帶來無比的便利，卻也帶來巨大的風險。以往的電腦系統是專用系統，且與醫院外部也沒有串聯，相對安全。然而，現今基於資料整合之要求，會採用通用性平台，同時為了提供民眾的便利，醫院的資訊網路也連接到外部網路，但需要加強防護與轉接。許多醫療儀器也都是電腦系統，需要與院內連線並進行資料介接才能順利運作，因此也需要納入資安防護的範圍。行動化裝置的普及以及功能躍進，利用其來使用電腦系統已成為常態，但是其防護相對是較薄弱的。

　　以前的駭客出於興趣，想證實自己的能力。而現在的駭客則是出於利益，無論是政治或是金錢上的利益，都提供極大的誘因。攻擊手法與速度的進展令人擔憂。如今，有人甚至將網路攻擊視為一種服務，用以協助他人進行攻擊換取自己的利益。

　　業務上對資訊系統的依賴性日益增加，系統防護的困難度也隨之提升，攻擊者(駭客)的來源與手法也急速擴張。在任何國家與企業(包含醫院)，資安風險在組織風險中的排名，都名列前茅。

　　亞東醫院積極發展資訊系統，致力提升服務的方便性與效率，同時利用電腦系統來提升病人安全的保障(如：臨床決策支援系統，避免開錯藥)，但是我們也體認到資訊安全是非常重要的課題。

　　資安的防護主要包含三個構面：私密性、完整性與可用性。也就是說，資料不可外洩，不可被竄改或遺失，還必須確保資訊系統能持續運作。在實際執行上，需同時運用管理、科技與人員訓練等多種方法。

　　亞東醫院成立「資通安全管理委員會」，由行政副院長督導，推動資安管理，相關單位積極執行。我們也設有資訊安全專責人員，負責資安業務之規劃、監控與稽核工作。日常的資安管理遵循「資通安全管理法」與 ISO 27001的規範進行。

　　我們導入各項資安科技與設備，如：高階的防火牆，有完整的入侵防護機制，全院電腦皆安裝企業級的防毒軟體。有廣泛的即時監控系統，能夠及早發現異常狀況。此外，醫院也定期作弱點掃描、滲透測試與資安健檢，以進一步發現系統中的潛在風險。重要的系統採用高可用性架構，利用多台設備作組合，以避免單一設備故障就影響到系統運作。譬如，亞東醫院在2023年導入新的 Oracle資料庫，採用私有雲端架構，在效能與可用性都有極大之保障。重要資料定期進行異地備份，避免資料損失。我們還將資料遠距備份至遠傳在台中的機房，即使發生大地震這種區域性的災難，仍有可能保存重要資料。

　　我們每年舉辦各種教育訓練，根據人員類別提供不同層級之培訓，並不定期進行社交工程演練(降低網路釣魚之機會)與資安認知測驗。我們期待資訊安全不僅是一種規範，而且是亞東醫院文化的一部分。

　　亞東醫院每年舉辦兩次資訊安全內部稽核，同時接受外部稽核，確保每年都能通過ISO 27001 資訊安全的認證與複查 (圖一)。今年11月，我們還將接受 ISO 27001新版的轉版驗證。

　　除了自身努力外，我們還要與外部分享資訊。亞東醫院加入「衛生福利部資安資訊分享與分析中心」(H-ISAC)(圖二)。我們不僅主動分享資訊，也積極接受 H-ISAC 提供的各種提醒。

　　資訊安全的防護是全方位的，也永遠沒有止盡。亞東醫院為了保護民眾的醫療與其他私密資料，並確保醫院的作業能順利運作，在資訊安全上會持續的努力。

圖一 ISO 27001 證書

圖二  衛生福利部資安資訊分享與分析中心(H-ISAC) 網站