一、         目的

為維護本院安全及可信賴的資訊運作環境,維持業務持續運作,降低資訊作業風險,保障資訊服務使用者之權益,建立資訊安全管理系統(Information Security Management System, ISMS)並符合資訊安全管理標準及相關法規之要求,特規範本政策為最高指導方針,達成資訊安全管理目標。

二、         範圍

本院資訊安全管理範圍包括本院所屬各院區資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施。

三、         作業要點

(一)            資安政策宣言

1. 確保病患就醫及病歷資料受到保護,保障病患個人隱私權。

2. 確保醫療系統資料庫與相關應用系統正確執行。

3. 資料處理符合業務單位之需求,系統管控完善。

4. 確保本院電腦機房、網站及網路安全。

5. 防範本院業務運作遭受資訊安全事件之影響,確保營運持續。

(二)            資訊安全目標

保護本院資訊及相關資產之機密性、完整性與可用性,其目標為:

1. 機密性(Confidentiality):確保經授權的人才能存取資訊。

2. 完整性(Integrity):確保資訊內容與處理方法為正確與一致性。

3. 可用性(Availability):確保經授權的使用者在需要時可取得資訊與使用設備。

(三)            資訊安全績效指標與量測

1. 應以機密性、完整性及可用性為基準,訂定相關安全績效量化指標,每季提報資訊管理委員會,說明資訊安全管理系統實施狀況與量測資安目標是否達成。

2. 安全績效量化指標及量測之準則由資訊管理委員會依每年之施政目標進行檢討與修正。

(四)            權責劃分

依據「資訊管理委員會設置要點」成立相關分組並進行各項資安作業。

(五)            員工責任

1. 員工應遵守法規與院內各項資訊安全規定。

2. 員工有參加本院舉辦各類資訊安全宣導教育之義務。

3. 員工發現資訊安全事件時,應儘速通報並協助處理資訊安全事件。

(六)            了解利害相關團體之需求與期望

1.    資訊安全管理系統之利害相關團體

2.    與上述利害相關團體相關之資訊安全要求

(七)            決定資訊安全管理系統之範圍

1.    資訊安全管理審查會議需決定資訊安全管理系統之範圍,包含其運作限制與其運作範圍。

2. 當決議資訊安全管理系統之範圍時,應考量:

(1).   確認內外部議題對資訊安全系統之影響。

(2).   了解利害相關團體之需求與期望之要求。

(3).   組織內之作業活動與其他組織提供之作業活動。

(八)            審查與評估

1. 本政策應至少每年進行檢討一次。

2. 本政策依據本院資訊安全需求及外在環境變化進行必要之修正。

3. 本政策自奉准後公佈實施,修正時亦同。

四、         參考文件

(一)            ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements

(二)            CNS 27001:資訊技術-安全技術-資訊安全管理系統-要求事項。

(三)            台大醫院雲林分院資訊安全管理要點。


 

五、         制定及修訂日期

(一)            制定日期:98年10月12(1.0)

(二)            修訂日期:990802(1.1)

(三)            修訂日期:100503(03)

(四)            修訂日期:1020802(04)

(五)            修訂日期:1031120(05)