Case Study · 醫療業
醫療院所電子病歷資料保護導入
建置完整備份容災與端點防護架構,導入後零重大資安事件,順利通過個資法稽核
返回所有案例
產業類別
醫療院所
企業規模
100–300 人
服務地區
台灣中部
導入週期
4 個月
0次
資安事件
(導入後 12 個月)
(導入後 12 個月)
< 2hr
備份恢復
時間
時間
全數通過
個資法
稽核
稽核
⚠ BEFORE
電子病歷以明文儲存,備份不完整,勒索攻擊風險極高
✓ AFTER
全面加密 + 3-2-1 備份 + 異地即時備援
★ IMPACT
RPO < 15 分鐘、RTO < 2 小時、勒索攻擊零損失
BACKGROUND
客戶背景與面臨挑戰
這家位於台灣中部的醫療院所,電子病歷系統老舊,備份機制不完整,長期缺乏離站備份策略。院方曾發生勒索軟體感染事件,雖未波及核心 HIS 系統,但此事件引發管理層高度重視,決心全面盤點並強化資訊安全架構。
隨著個資法與醫療法規要求日趨嚴格,院方需建立完整的稽核日誌與存取控管機制,同時解決護理站與行政電腦防護薄弱、防毒軟體版本老舊且未集中管理的問題。
無離站備份,單點故障風險極高
現有備份僅存於本機或同一機房,勒索軟體或硬體故障將導致資料全損,無法有效恢復電子病歷。
端點防護分散,管理人員無法集中掌握安全狀態
護理站與行政電腦防毒軟體版本不一,部分設備甚至長期未更新病毒碼,IT 人員缺乏集中可視性。
稽核日誌不完整,無法應對個資法查核要求
系統缺乏統一的存取日誌收集機制,難以追溯病歷存取紀錄,無法滿足個資法稽核報告需求。
IT 人力不足,難以自行建置與維運完整資安架構
院內資訊人員編制精簡,既需維運日常 IT,又要應對法規要求,難以獨力規劃並導入完整資安方案。
SOLUTION
凱茂資訊提供的解決方案
凱茂資訊針對醫療院所的法規合規需求與 IT 資源限制,量身設計分階段導入策略,從備份架構重建到端點安全集中管理,並協助建立符合個資法要求的稽核體系。
01
備份架構重建
導入 3-2-1 備份策略,建置本地 NAS 加離站備份,RPO 壓縮至 4 小時以內、RTO 達成 2 小時以內,確保電子病歷資料可快速恢復。
02
端點安全集中管理
部署 EDR 端點防護解決方案,集中管理院內 150+ 台護理站與行政電腦,實現即時告警與威脅事件自動回應。
03
稽核日誌與存取管控
建置 SIEM 日誌收集系統,整合 AD 存取紀錄與 HIS 操作日誌,支援個資法稽核報告自動產出,滿足法規查核需求。
04
人員教育訓練
對 IT 人員與護理人員分別規劃資安意識訓練課程,建立資安事件通報 SOP,提升全院資安文化。
RESULTS
導入成效
系統導入後 12 個月內,院內零重大資安事件發生。備份恢復能力由導入前「不確定能否恢復」大幅改善至 2 小時以內完成恢復,電子病歷資料的可用性與完整性獲得根本性保障。
個資法稽核方面,憑藉完整的日誌收集與報告自動化,院方首次以充分準備的姿態面對稽核,並全數通過所有查核項目,管理層對資安的長期擔憂得到有效化解。
IT 人員藉由集中管理平台大幅降低日常維護負擔,得以將有限人力聚焦在更具策略價值的 IT 服務改善上。
POST-DEPLOYMENT · 導入後 12 個月追蹤
0次
安全事件
2hr
RTO 達成
100%
稽核通過
院方已建立定期資安演練機制,並由凱茂提供持續維運支援,確保資安架構隨威脅環境更新而保持有效性。
ROI SUMMARY · 投資回報速覽
🛡️ 合規效益
個資法稽核 100% 通過,規避罰款與行政處分風險;稽核準備從緊急動員轉為日常例行
🏥 業務連續
RTO < 2 小時,電子病歷完整可恢復,醫療服務不因 IT 故障中斷,保護醫院商譽
⚡ 效率效益
IT 人員從重複性文件作業解放,得以專注於醫療資訊系統優化與新服務規劃
「凱茂不只是做備份和裝防毒,而是真正理解醫院的 IT 需求與法規壓力。現在我們有信心面對任何稽核,管理層對資安的擔憂也大幅降低了。」
—— 資訊室 林主任,中部醫療院所
