今日實作:用Word製作簡易版資安稽核檢查表

醫院資安稽核檢查表 – 列出三項檢查重點

前言

在醫院資訊室的工作中，我們常常要面對外部稽核或內部自我檢查。這些稽核不只是形式上的流程，而是確保醫院在資訊安全方面確實落實防護的重要機制。對醫院來說，資安稽核的目的有三：

1. 找出漏洞：確認系統與流程是否存在資安風險。
2. 確保合規：符合台灣個資法、醫療法及 ISO 27001 等規範。
3. 提升信任：讓病人與主管機關放心，醫院能妥善保護病歷與個人資料。

本文將整理出三個醫院資安稽核中最常檢查的重點，並示範一份簡單的「稽核檢查表」。

一、帳號與存取控制

為什麼重要

病歷是醫院最敏感的資料，而帳號與存取權限管理是守住第一道門檻的關鍵。過去許多名人病歷外洩事件，都是因為內部員工濫用權限，隨意查閱不該看的病歷。

稽核檢查內容

1. 是否有 最小必要原則，確保不同角色只能存取必要資料。
2. 是否禁止共用帳號，並要求每位員工使用獨立帳號。
3. 是否有定期審查帳號清單，及時刪除離職員工帳號。
4. 是否保存存取紀錄，並能在稽核中提出證據。

二、系統更新與備份

為什麼重要

醫院的資訊系統往往需要 24 小時不中斷運作，因此常常忽略更新與維護。但若系統長期不更新，漏洞就會成為駭客攻擊的入口。此外，若缺乏備份，一旦發生勒索病毒攻擊，醫院可能整體癱瘓。

稽核檢查內容

1. 是否有 定期更新計畫，並記錄系統與軟體更新的時間。
2. 是否有 異地備份，確保災難發生時能復原。
3. 是否有 備份還原演練，確認備份不是形式，而是可用的。
4. 是否紀錄異常狀況與修復流程，提供稽核人員檢視。

三、資安教育與意識

為什麼重要

醫院最大的風險之一來自人員操作失誤，例如點擊釣魚郵件或使用弱密碼。再嚴密的系統防護，也敵不過缺乏資安意識的人。

稽核檢查內容

1. 是否每年至少一次舉辦資安教育訓練。
2. 是否有 釣魚信演練 或相關測驗，檢驗員工防範能力。
3. 是否將資安教育納入新進人員訓練課程。
4. 是否保存訓練紀錄，供稽核時查驗。

範例檢查表

以下是一份簡化版的稽核檢查表，可以作為醫院自我檢查或外部稽核時的參考：

總結

醫院資安稽核的核心重點，可以歸納為三項：

1. 帳號與存取控制 – 確保只有該看的人才能看資料。
2. 系統更新與備份 – 確保系統安全並能在意外發生時復原。
3. 資安教育與意識 – 確保所有人員具備最基本的防範能力。

對我來說，資安稽核並不是找麻煩，而是一種「防火演練」。它提醒我們，只有在平常把這些基本功做好，真正遇到危機時才不會手忙腳亂。