中央健保局取得BS7799認證 從辛澀到甘之如飴

初期被動配合的心境
不可諱言的，健保局一開始推動BS7799認證是基於政府的規定，必須在今年六月底前通過BS7799認證，因此從2003年11月建置開始，健保局就做了一系列的規劃，包括「資訊安全組織」：訂定資訊安全政策、資產分類、管理、風險評估等；再者建立「資訊安全的體系」：用來審核安全的文件，當然「內部稽核」亦是此過程的要點。

面對突如其來的額外任務，中央健保局資訊處經理李菱菱表示：「由於平時就有許多業務要處理，當時聽到要做認證的第一個想法，又是得耗費自己許多時間，所以一開始並不熱衷…。」相信這也是許多承辨認證人員的心聲。再加上初次導入BS7799認證，因此不知該如何進行，也成為此過程最大的難題，因為必須考量初期風險要如何評估？評估標準為何？什麼樣的情況能夠接受？又如何將規範和要求轉換成可以執行的做法和步驟等都必須計算出來，而這些都得藉由研討會和資安顧問公司合作蒐集資料來學習，因此認證過程可說非常繁複，又有不得不去執行的無奈心態。

從準備階段到實際測試
一開始，健保局就選派內部人員參加BS7799主導稽核員的教育訓練，包括資訊處和稽核室共計8位同仁，而眾所周知想要進行這類工作需要主管配合，因此也進行相關主管宣導課程的講習，而此一階段就是要為往後在做實際認證時做準備。

至於在實際進行認證階段，主要分成三次審核，第一次健保局先請BSi進行預評，讓健保局了解哪些部分仍未做到需再做更正，而實際評審時又分兩個階段，一次是書面審查，第二次是實地審查，李菱菱：「BSi審查十分嚴格，以高雄IDC機房審查為例，由於自己有全程參與，對於BSi稽核印象就非常深刻。」尤其是做的越好，BSi就越想找出其他缺失，因為安全是沒有絕對的。

從單點安全到全面的安全
導入BS7799認證前，許多的安全規劃大都是一個個單點方式，缺乏從整個作業流程來檢視安全。經歷了整個導入過程，比較能發揮整體綜效，讓安全的漏洞降到最低。李菱菱強調，目前對於資訊人員已明訂帳號、密碼的規定，例如作業系統組織規定、通訊系統安全規定等；系統應用則針對使用者權限管理做相關規定，也會依業務做不同權限劃分；資料取得也都必須透過主管的核准，不同部門需經由該部門主管簽核才能使用；每半年也會要求部門主管變更帳號和密碼，離職後更需立刻註銷；對外資料提供方面，對於資料的重要欄位都會做加密處理。

每次開機時，電腦螢幕都會產生資安警語，提醒大家注意資訊安全的重要性，且每隔一段時間就會更換；對於重要業務的查詢和列印也會定期做log管理，以查驗是否有不正常查詢資料的狀況；登出後更將立刻顯示查詢資料的筆數，以確認是否有異常查詢現象，才不致因承辦人員離開，導致他人利用電腦查詢或下載重要資料。

至於KMS系統要求一定要2人匯合才能進行作業，而IDC則會派專人去監控全局，因為IDC有委外業務，委外人員只有進入系統從事網路操作和監控的權限，沒有存取資料庫的權限。此外，IDC機房的設備都有備援功能，現在更結合災難備援系統，就是考量萬一整棟大樓發生火災或倒塌等問題發生，必須有異地備援讓健保局對外系統不中斷。

另一個好處就是發現自我規劃上的盲點，中央健保局資訊處專員唐順良就表示，原本Server是介於兩個Firewall之間，透過稽核人員的建議，畢竟有些DNZ沒有那麼好，因此決定將Server往內搬，所以外層就有兩層Firewall，因此推動BS7799認證讓資訊處學習到許多不同的觀點與經驗。

以合作取代敵對的稽核功效
從上述內容中不難發現，認證過程的好處是讓健保局重新檢視各個環節，藉此發現了原本內部系統存在的弱點與盲點，進而提升資訊安全，能看到如此重大的益處自然讓健保局同仁從被動配合到主動參與，是獲得認證的一大關鍵，但另一項要素是「獨立的稽核單位」。

多數公司通常將稽核工作併在資訊部門，但如果執行單位又身兼稽核任務，通常不容易發現真正的問題，或是將問題淡化甚至隱藏問題，李菱菱指出，中央健保局最大不同點，就在於擁有獨立的稽核單位，目前健保局稽核分為資訊處內部稽核和稽核室外部查核，稽核室人員都是調查局出身的，會做定期、年度調查和專案的稽核，針對這次認證的稽核，稽核室除了做文件手稿且配合資訊單位進行稽核，也會依BS7799的規範做出具體的稽核明細，並在安全會議中進行檢討、改進和追蹤。

而且每次開會議時，各分局和稽核室也至少要派一個人來參加，以瞭解未來推動的方向。唐順良則認為：「稽核室對於內部或各分局的稽核經驗非常老到，如果由資訊處自己來稽核的話，可能無法如此得心應手的。」所以在推動BS7799認證時稽核室扮演極重要的功效。

但嚴格說來，稽核單位和執行單位通常具某種程度的敵對關係，可是在健保局取得BS7799認證的過程卻產生意外的加分效果。這點可由中央健保局稽核室主任吳文偉言談中得知，吳文偉認為：「相信大家都以健保局為榮，基本上不會是敵對立場，只不過如果只由資訊處自我稽核會看不到問題所在，稽核室做為外部稽核能從不同角度發現問題，只要問題改善了，對所有人都是好事。何況稽核的目的不是懲處，反而是發現問題以及改善。」這也是李菱菱再三強調：「除了涉及資料庫內的資料必須依正常程序來申請才能獲得，健保局內部的單位本來就是要相互合作的…。」

認證讓大家獲益良多
由於資訊處和稽核室有志一同為健保局發展著想，在經歷BS7799繁複的認證過程中，也讓相關同仁獲得不少收穫，如同吳文偉：「稽核現在有一個國際上的標準，如果只從一個點或片面性的了解會不夠具體和全面，所以稽核室也派人員去參加BS7799的教育訓練。」又說：「經過此次認證，稽核室人員可藉由BS7799認證吸取國際級的稽核觀念及方法。」這都是在BS7799過程中意外得到的珍貴收穫。

李菱菱也表示，開辦IC健保卡初期每次查詢都要留下log記錄，工作績效都是辛苦累積下來的，但仍然發生幾次資安事件，讓健保局同仁非常氣餧，也讓健保局意識到“人”的因素是重要關鍵；另外，為了將全國醫療院所的資料都整合於網路中，往往在Internet上容易遭受駭客攻擊，而這類問題也常是健保局必須面對的，所以推動BS7799認證是非常重要的，而未來更希望擴大BS7799的制度及精神到業務資訊系統，甚至希望將各分局也一併涵蓋。

後記
最後，李菱菱提出心得與大家分享：「有這樣的認證確實非常好，在資訊單位有許多的業務要處理，當時第一個想法就是又要花費許多時間，會排斥這種的程序，但後來覺得導入BS7799的認證是滿值得的，更計畫第二階段將整個MIS系統也導入。因為現在資訊科技如此進步，很多資安事件都會陸陸續續發生，如果沒有把管理和程序的機制建立起來，真的是很容易失控。」