1. 目的
確保天主教仁慈醫療財團法人仁慈醫院(以下簡稱本院)資訊系統服務正常且安全穩定的運作,規範本院資訊室與資訊機房之資訊安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保資訊室與資訊機房之資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,進而保障資訊系統服務使用者之權益。
2. 範圍
2.1 基於本院以保護資訊資產機密性、完整性、可用性為目標,且資訊機房為本院資訊系統服務之重要基礎架構,故將資訊室與資訊機房優先納入資訊安全管理範圍,展現負責之經營管理理念,期日後將資訊安全管理制度拓展至其他範圍。
2.2 為避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,對本院帶來可能之風險及危害。資訊室與資訊機房之資訊安全管理事項如下:
2.2.1 資訊安全管理程序
2.2.2 資訊安全政策管理程序。
2.2.3 資訊安全組織管理程序。
2.2.4 人力資源安全管理程序。
2.2.5 資訊資產管理程序。
2.2.6 存取控制管理程序。
2.2.7 密碼管理程序。
2.2.8 實體與環境安全管理程序
2.2.9 作業安全管理程序。
2.2.10 通訊安全管理程序。
2.2.11 資訊系統獲取、開發及維護管理程序。
2.2.12 供應商關係管理程序。
2.2.13 資訊安全事故管理程序。
2.2.14 業務持續管理程序。
2.2.15 遵循性(適法性)管理程序。
3. 權責
3.1 資訊審查委員會
本院資訊發展暨安全管理階層決策組織。
3.2 資訊安全推動組
本院資訊室與資訊機房資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊審查委員會提報。
3.3 資訊室同仁、資訊系統服務使用者、委外人員
3.3.1 配合資訊安全管理制度活動。
3.3.2 遵守相關資訊安全管理制度規範。
4. 定義
4.1 資訊安全
保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
4.2 資訊資產
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務與建築與保護類設施等皆屬之。
5. 作業內容
5.1 原則
5.1.1 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估,確定資訊作業安全需求,建立「資訊安全管理程序」作業標準,採取適當資訊安全措施,確保資訊資產安全。
5.1.2 依人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。
5.1.3 資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。
5.1.4 建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理,並訂定業務持續計畫且定期演練,以確保資訊系統或服務持續運作。
5.1.5 依據個人資料保護法與智慧財產法之相關規定,審慎處理及保護個人資訊與智慧財產權。
5.1.6 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。
5.1.7 違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。
5.1.8 為確保本院同仁皆知悉本院資訊安全要求,另訂定「資訊安全宣言」(詳附件一)告知本院同仁遵悉。
5.2 目標
5.2.1 建構資通安全防護及資安事件通報處理應變作業程序,建立網路合法使用及不當資訊處理規範與機制,保護智慧財產權。
5.2.2 有效支援行政管理作業,強化人力與技術,精進組織作業及服務流程,建構安全完備之資訊作業環境。
5.2.3 安全穩定的HIS醫療系統、LIS檢驗資訊系統、PACS影像管理系統、公文系統。
5.3 審查
5.3.1 本政策應至少每年評估一次或於組織重大變更時(如組織架構調整)評估,以反映相關法令、技術及資訊室業務等最新發展現況,並予以適當修訂。
5.3.2 本政策經資訊審查委員會核准,於公告日施行,並以書面、電子或其他方式通知資訊室所有員工及提供資訊室資訊服務之廠商,修正亦同。
6. 相關資料
6.1 【資訊安全管理作業流程及程序】。
6.2 【資訊安全組織管理作業流程及程序】。