歐盟網路安全局（ENISA）於2025年9月正式發布《Cyber Hygiene in the Health Sector》資安衛生手冊，旨在協助醫療機構提升資安防護能力、管理風險、保護病患資料，並強化整體韌性。此手冊是歐盟健康行動計畫（EU Health Action Plan）的一部分，針對大型醫院、中小型診所、基層醫療機構等不同規模的健康服務提供者，提供可操作的資安建議。

發布背景與產業挑戰

根據ENISA的威脅情勢報告，醫療產業是遭受網路攻擊最嚴重的領域之一，佔所有通報事件的53%。NIS投資調查顯示，80%的醫療機構表示其資安事件超過六成與軟硬體漏洞有關。ENISA的NIS360報告更指出，健康產業的資安成熟度與其關鍵性存在明顯落差，亟需強化指引與支援。

歐盟近期也推出多項相關法規，包括醫療器材法（MDR）、網路韌性法（CRA）、歐洲健康資料空間法（EHDS），並於2025年初啟動「醫療機構資安行動計畫」，由ENISA負責執行多項任務與資源配置。

手冊內容重點

ENISA手冊提供一系列簡明易行的資安衛生措施，涵蓋以下六大面向：

1. 系統與設備安全

• 建立完整的ICT資產清冊，定期盤點硬體、軟體與醫療設備
• 停用不必要的埠口與服務，移除未使用軟體，變更預設密碼
• 採用「最小權限原則」，限制使用者存取權限
• 實施多因素驗證（MFA），特別是網路可存取系統

2. 補丁與弱點管理

• 所有設備應安裝最新安全更新，無法更新者需隔離處理
• 啟用自動更新功能（非關鍵系統）
• 定期掃描未修補漏洞與過時軟體
• 僅允許授權應用程式執行，部署惡意程式防護工具

3. 網路防護與通訊安全

• 採用安全通訊協定，實施網路分段
• 24小時監控網路流量，啟用垃圾郵件與釣魚過濾
• 使用Web應用程式防火牆（WAF）與DDoS防護服務
• 遠端存取需搭配VPN與MFA，無線網路採最新加密標準

4. 行動裝置與資料保護

• 啟用裝置遺失時的遠端清除功能
• 強制裝置閒置30秒自動鎖定，並加密儲存與傳輸資料
• 僅允許安裝核准應用程式，清除瀏覽器與應用程式快取
• 建立資料分類與標記制度，實施元資料清理流程

5. 備份與災難復原

• 至少保留一份離線或抗勒索備份
• 定期測試備份還原流程，執行完整性檢查
• 備份資料應考量保存期限與法規要求
• 資料中心需納入火災、洪水與電力中斷等情境規劃

6. 事件應變與協作機制

• 建立資安事件應變流程，明確分工與聯絡管道
• 定期進行弱點掃描與滲透測試
• 與供應商、資安服務商、其他醫療機構建立協作關係
• 發生重大事件時，應通報國家CSIRT或主管機關，並依指示處理

產業合作與資源投入

這份手冊於第十屆ENISA eHealth資安會議中正式發布，該會議由ENISA與羅馬尼亞國家資安總局（DNSC）、歐洲資安能力中心（ECCC）共同舉辦，匯聚歐洲各地醫療資安專家與政策制定者，交流最佳實務與法規趨勢。此外，歐盟委員會已與ENISA簽署3600萬歐元協議，成立「歐盟資安儲備隊」（EU Cybersecurity Reserve），由數位歐洲計畫（DEP）資助，強化歐盟與成員國的資安韌性。

結語與建議

ENISA的《健康產業資安衛生手冊》不僅是技術指引，更是提升醫療機構資安文化與韌性的關鍵工具。面對日益頻繁的勒索攻擊與資料外洩風險，企業應主動導入手冊建議，強化資安治理、教育訓練與跨部門協作，以保障病患資料與醫療服務的持續性。

資料來源：https://industrialcyber.co/medical/enisa-publishes-cyber-hygiene-handbook-to-help-healthcare-providers-manage-risks-protect-data-build-resilience/