關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 人工智慧
顯示分類
2025.11.14
標準與框架/人工智慧
HSCC發布2026年人工智慧網路安全指南預覽,重點介紹醫療機構的最佳實踐

人工智慧(AI)正快速滲透到醫療健康服務的各個環節,從臨床診斷、行政管理到財務運作,極大地提升了效率和潛在的護理品質。然而,這種技術的廣泛應用同時帶來了模型中毒、資料偏差和供應鏈風險等複雜的網路安全挑戰。衛生部門協調委員會(HSCC)意識到其緊迫性,透過其網路安全工作小組(CWG)制定了即將於2026年發布的AI網路安全指導方針。該指南旨在透過建立全面的治理框架、操作手冊和教育培訓,確保AI技術在醫療領域的負責任與安全部署。本研究報告將詳細整理HSCC的五大工作流與核心術語,為醫療機構提供一份清晰的AI網路安全實踐藍圖。

 

醫療AI時代的網路安全新挑戰

人工智慧技術在醫療應用中的複雜性要求組織必須採取分階段、有策略的方法來管理相關風險。HSCC此舉正是為了在AI帶來的巨大創新機會與潛在的網路安全威脅之間取得平衡。

衛生部門協調委員會 (HSCC) 透過其網路安全工作小組,發布了即將於 2026 年發布的關於管理人工智慧網路安全風險的指導意見的預覽版。鑑於人工智慧的複雜性以及其帶來的機會和挑戰,HSCC 計畫分階段推出相關資源,專注於制定健全的政策和最佳實踐,以促進人工智慧的負責任應用。

鑑於人工智慧帶來的網路安全挑戰和機遇,HSCC CWG (Cybersecurity Working Group) 於去年10月成立了人工智慧網路安全工作小組,該小組由來自各個領域的115家醫療機構組成,旨在探討如何透過營運和組織指導來為醫療產業做好準備。人工智慧工作小組認識到人工智慧技術在臨床、行政和財務等醫療應用領域的複雜性及其相關風險,因此將人工智慧問題細分為若干易於管理的、圍繞特定職能領域展開的工作流程,同時兼顧各職能領域之間的相互關係和相互依賴性。

 

HSCC的五大工作流:築構AI安全防禦框架

HSCC CWG將人工智慧網路安全任務劃分為五個相互關聯的工作流,以確保全面覆蓋AI從開發、部署到退役的整個生命週期。這些工作流旨在提供具體、可操作的指導,並強調跨職能團隊的協作。

  1. HSCC CWG的五大工作流與重點:

  • 教育與賦能:為我們的人工智慧網路安全指南制定通用術語,並開展教育和培訓項目,使不同的醫療保健使用者群體熟悉如何在其功能環境中正確使用人工智慧。此工作流旨在提升全體員工對AI風險的基礎理解與適當控制措施的應用。

  • 網路運作與防禦:提供實用的操作手冊,幫助醫療機構做好準備、偵測、回應和恢復與人工智慧相關的網路安全事件。重點在於定義AI特有的威脅情報流程,並針對大型語言模型(LLM)之外的預測機器學習系統和嵌入式設備AI等建立操作防範措施。此項工作將產出如《AI網路韌性與事件恢復手冊》等實用工具。

  • 治理:建構一個全面的框架,用於管理醫療衛生企業中的人工智慧網路安全風險,包括:人工智慧生命週期的治理流程;監管合規;以及人工智慧特有的安全和資料安全。該框架將參考NIST AI風險管理框架等標準,並可能引入AI治理成熟度模型,幫助不同規模的組織評估能力、識別差距,並明確界定AI系統從開發到退役各階段的職責與臨床監督。

  • 安全設計:將網路安全安全設計原則融入人工智慧醫療設備的基因,同時促進工程、網路安全、監管和臨床團隊之間的協作。重點在於應對資料中毒、模型操縱和模型漂移等新興威脅,並支援整合AI物料清單(AIBOM)和可信賴AI物料清單(TAIBOM),將安全思維從產品開發之初便嵌入其中。

  • 第三方人工智慧風險與供應鏈透明度:透過提升第三方人工智慧工具的可見度和透明度、建立治理和監督政策、以及規範採購、供應商審核和生命週期管理等,加強供應鏈的安全性、信任度和韌性。此工作流旨在減輕分層供應商供應鏈中隱藏的AI風險,並提供標準化的採購流程和契約條款,以確保資料隱私和責任劃分。

 

關鍵術語解析:理解AI在醫療應用中的潛在風險

為了確保所有醫療保健使用者群體能夠理解並正確應用指導方針,HSCC同步發布了關鍵術語定義,這些定義涵蓋了AI技術的基礎概念及其在醫療應用中可能產生的獨特風險,是教育與賦能工作的基石。

  1.  AI 在醫療:你需要知道的 10 個術語 人工智慧在醫療保健領域無所不在——從日程安排到診斷,HSCC列出了人工智慧在醫療保健領域應用的10個術語,這些應用可能帶來新的風險:

  • AI Agents:可自主執行任務的 AI。

  • Algorithm:AI 運作的演算法。

  • Artificial Intelligence:模擬人類智慧的系統。

  • Bias:因資料或設計錯誤導致不公平結果,例如導致臨床診斷不公。

  • Data Privacy:保護病患敏感資料,特別是AI訓練與應用過程中的資料安全。

  • Explainability:能解釋 AI 如何做出決策,在臨床應用中至關重要。

  • Generative AI:生成文字、影像、影片的 AI,可能用於虛假資訊生成或輔助診斷。

  • Hallucination:AI 產生錯誤或誤導資訊,在醫療領域可能導致誤診或錯誤治療建議。

  • Large Language Model (LLM):基於大量文本訓練的語言模型,其安全性問題與應用於病歷摘要和客服時的風險需特別關注。

  • Machine Learning (ML):透過資料學習模式的 AI。

 

確保創新與韌性:行業的呼籲與實踐建議

HSCC CWG的工作方向在過去幾個月取得了顯著進展,並計畫從明年1月開始陸續發佈各自的指導文件,直到2026年第一季。HSCC CWG呼籲醫療機構採納這些最佳實踐,在各團隊間分享指導,並與理事會合作,共同塑造全產業人工智慧治理和網路安全的未來。其目標是確保醫療創新與對病患安全、資料隱私和營運韌性的堅定承諾相符。

透過將網路安全原則深入整合到AI生命週期的每一個階段,並透過明確的治理框架來規範技術的應用,醫療機構能夠最大化AI帶來的益處,同時有效控制隨之而來的安全、倫理和合規風險。這不僅是一項技術挑戰,更是一項關乎病患信任與公共衛生的戰略性任務。

註:
衛生部門協調委員會 (HSCC) 網路安全工作小組 (CWG) 是一個獲得政府認可的關鍵基礎設施產業諮詢委員會,由 480 多個醫療保健機構組成,涵蓋醫療服務、生命科學、實驗室和醫療技術、健康保險和計劃、醫療資訊科技和資訊交換,以及公共衛生和政府機構,致力於識別和緩解對健康數據和研究、系統、製造和患者護理的網路威脅。 CWG 成員制定並發布免費的醫療保健網路安全最佳實踐和政策建議,並倡導網路安全即病人安全這一理念。
 

資料來源:

https://industrialcyber.co/medical/hscc-previews-2026-ai-cybersecurity-guidance-highlighting-best-practices-for-healthcare-organizations/

Health Sector Coordinating Council, Cybersecurity Working Group, Artificial Intelligence 2026 Guidance Previews, November 2025

分析HSCC的五大工作流與關鍵術語,聚焦於治理、安全設計及第三方風險管理,旨在為醫療產業提供2600字符的深度研究,促進AI負責任且安全的應用。