近期醫療機構面臨的資安事件，主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等。研究報告顯示有近八成攻擊是無法由防毒軟體偵測，必須了解醫療內網架構，執行隔離網域及掌握軟硬體帳號情資等，以建構基礎的資安防護體系。

・ 接入設備合規檢查
・ 非法外來設備控管
・ 自動化檢查IP、MAC、電腦名稱、 AD帳號、Switch、Port、GPO、OS補丁、病毒碼更新、應裝軟體、禁用軟體、漏洞檢查、惡意程式

各級醫療機構保有諸多個人資料，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；為達到此目的，必須做到設備安全管理，建立資料安全稽核機制，完整保存使用紀錄、軌跡資料及證據，和持續改善個人資料安全維護之整體制度。

個人資料保護法

第二章第18條
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第四章第28條
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
個人資料保護法實行細則
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
⋯⋯
八、設備安全管理。

九、資料安全稽核機制。

十、使用紀錄、軌跡資料及證據保存。

十一、個人資料安全維護之整體持續改善。

・ 提供IP/MAC與電腦名稱/資產屬性綁定功能，完整記錄IP使用資訊
・ 確認使用者身分，設定資料存取權限，並記錄上下線時間
・ 強迫登入AD帳號，確保完整套用GPO政策，防止安全漏洞
・ 紀錄完整Switch/Port使用路徑，迅速查找使用設備
・ 強迫終端設備安裝DLP軟體、防毒軟體，減少資料外洩的機會
・ 軟跡資料搜集採用AES-256資料庫完整加密備份保存5年以上

資訊安全管理系統之導入及通過公正第三方之驗證

資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法，發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序；媒體不再需要時，應使用正式程序加以安全地汰除；應保護含有資訊的媒體在傳送期間，不受未經授權的存取、誤用或毀損。

資通安全防護

初次受核定或等級變更後之一年內，完成各項資通安全防護措施之啟用，並持續使用及適時進行軟、硬體之必要更新或升級。

・ 整合模組功能符合多項ISO 27001標準，降低建置所需成本
・ 提供防毒軟體、病毒碼更新與安裝檢查，並可介接多項資產軟體與WSUS資料庫，強迫不合規電腦進行更新

A.8 資產管理

資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法，發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序；媒體不再需要時，應使用正式程序加以安全地汰除；應保護含有資訊的媒體在傳送期間，不受未經授權的存取、誤用或毀損。

・ 提供IP資產分類
・ 自動產生軌跡資料
・ 提供IP使用紀錄、系統操作紀錄
・ 提供IP保護機關的重要資料，防止資料遺失、毀壞及被偽造或竄改

A.9 存取控制

含以下幾個項目：存取控制政策、網路與網路服務的存取、使用者登錄與註銷、使用者的存取配置、特權的管理、使用者的機密授權資訊之管理、使用者存取權限的審查、機密授權資訊的使用、資訊存取限制、安全之登入順序。

・ 提供准入控制及私接設備管理、違規政策異常事件報表
・ 提供IP/MAC綁定管理、IP/MAC時間管理、MAC/硬體指紋綁定管理
・ 提供身分驗證機制
・ 提供白名單管理，並擁有時間配置
・ 提供IP例外、MAC例外機制
・ 提供AD管理，應加與未加AD管理、AD退網域管理、上線資訊，可設定內外網權限
・ 提供管理、使用者、觀察者權限