台湾牙e通首席技术官汪庭宇指出，相较于传统地端系统，采用公云服务打造牙科医疗信息系统（HIS），更能因应业务扩展、IT维运、灾难复原和资安等需求。　（摄影／洪政伟）

最大挑战是市场接受度

话锋一转，汪庭宇指出，用云最大的挑战不是技术，反而是市场接受度。「我们花了非常多时间与市场沟通，不断和每一位医生、院所从头解释为何采用云端，这个成本其实蛮高的。」傅怀磊补充。

汪庭宇也解释，牙科产业不熟悉云端服务形式的产品，容易因为不理解而怀疑或抗拒。比如，诊所用户常认为，数据存放在本地端机房比较安全、存放在云端会有资安风险。

每每遇到这个疑问，团队就得与诊所解释，相较于诊所自己呼出空间建机房、接电源、管理主机，通过国际资安认证的公云业者，其数据管理、备份备援机制、电源稳定性甚至是散热等配套，都会比小诊所的环境来得严谨。

后来，牙e通业务人员将沟通中常见的上云问题，制作成说明演示文稿，每次介绍产品前，会先说明云端架构的优劣，让潜在客户理解基本上云观念。今年全面实施这个作法后，也带动业绩大幅攀升。

4个月通过两项ISO认证

带动业务成长的不只是强化上云说明，台湾牙e通认为，主力产品在去年一口气获得2项国际ISO资安认证也是一大原因，包括ISO 27001:2022信息安全管理系统和ISO 27701:2019隐私安全管理系统，号称是全台第一家通过这两项认证的牙科HIS厂商。

汪庭宇和傅怀磊分别身兼资安管理委员会主委、资安团队代表，汪庭宇回忆，起初，因为不熟悉这两项验证，他们寻求外部顾问，要来协助公司创建合规的资安体系。

顾问加入后，牙e通开始创建内部资安团队和文化，找来研发人员、产品经理等人分工，一起组成资安工作小组，也开始按照两套ISO规范，来创建相对应的工作流程。完成这些任务后，便是稽核与取证，整个过程仅4个月。

在这个0到1的取证阶段中，团队吃了不少苦，尤其是得改变原有作业习惯。傅怀磊指出，ISO规范了许多必要流程，以系统调整为例，过去，他们开会讨论、决定后就分工运行，再定期会议检讨即可。但依ISO规范，会议需要留下文档记录，比如何人批准、何人负责稽核系统变更等，「工作流程中需要安插大量文档记录，来保护整体流程。」

起初，研发团队非常不习惯，「但，久了会发现，ISO这样要求有其道理，可以避免人为疏失和不必要的错误。」他表示，甚至这套做法，还能让团队思考以前轻忽的议题，比如软件灾难发生时，安全小组要在多少时间内恢复系统。「我们的目标是2小时，整个团队都要动员来抢救，让系统恢复运作。」傅怀磊指出：「ISO就像一套自我反省的流程，只是需要文档化来表达。」

不只如此，汪庭宇还分享一个小插曲。「外部顾问中途离职了，产生许多衔接问题，」他继续说，团队在某种程度上，等于在没有顾问的情况下自立自强准备稽核。傅怀磊回忆，稽核前两周，「资安小组每天一早到办公室，就重新把上百条条文全部看一次，找出可能还有问题的地方来改善！」正因为这个意料外的挑战，激起团队凝聚力，在例行工作之余共同钻研条文，最后在没有顾问陪同的情况下进行稽核，连稽核单位也佩服他们的用心。「这是我们很骄傲的地方，」汪庭宇说。

给台湾医资业者上云的两个建议

于是今年初，数发部推出医资厂商上云的补助计划时，台湾牙e通就立即申请，也成功获选。不过，因获选名单分两阶段公布，得知时程较晚，牙e通已重新调整年度目标而没有继续运行，决定明年再接再厉。

不过，他们在参与政府说明会过程中，观察到同业可能面临的2大挑战。尤其，大多数医疗资服业者提供地端版诊所系统，现在得要重新思考技术变革。比如，重新建构满足延展性和稳定性的架构、控管云端流程和资安配套等。特别是，云端作业方式是一台服务器对许多家诊所，不像地端一台服务器对应一家诊所，医资厂商需考虑云端系统稳定性、反应速度和服务器维护等细节，得要投入更多人力到研发中。此外，地端产品不习惯采取加密传输，但上云端得全程加密，这也是个技术课题。

第二个挑战是，地端产品的医资厂商得要找出新商业模式。过去，地端系统采买断制、每年加收维护费，但云端服务多采订阅制，地端厂商得要找出诊所能接受，且符合自身成本效益的收费平衡才行。