跳到主要內容區塊
:::
捷徑位置:

網站資訊區塊

1. 目的 
確保天主教仁慈醫療財團法人仁慈醫院(以下簡稱本院)資訊系統服務正常且安全穩定的運作,規範本院資訊室與資訊機房之資訊安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保資訊室與資訊機房之資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,進而保障資訊系統服務使用者之權益。
2. 範圍
2.1 基於本院以保護資訊資產機密性、完整性、可用性為目標,且資訊機房為本院資訊系統服務之重要基礎架構,故將資訊室與資訊機房優先納入資訊安全管理範圍,展現負責之經營管理理念,期日後將資訊安全管理制度拓展至其他範圍。
2.2 為避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,對本院帶來可能之風險及危害。資訊室與資訊機房之資訊安全管理事項如下:
2.2.1 資訊安全管理程序
2.2.2 資訊安全政策管理程序。
2.2.3 資訊安全組織管理程序。
2.2.4 人力資源安全管理程序。
2.2.5 資訊資產管理程序。
2.2.6 存取控制管理程序。
2.2.7 密碼管理程序。
2.2.8 實體與環境安全管理程序
2.2.9 作業安全管理程序。
2.2.10 通訊安全管理程序。
2.2.11 資訊系統獲取、開發及維護管理程序。
2.2.12 供應商關係管理程序。
2.2.13 資訊安全事故管理程序。
2.2.14 業務持續管理程序。
2.2.15 遵循性(適法性)管理程序。
3. 權責
3.1 資訊審查委員會
本院資訊發展暨安全管理階層決策組織。
3.2 資訊安全推動組
本院資訊室與資訊機房資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊審查委員會提報。
3.3 資訊室同仁、資訊系統服務使用者、委外人員
3.3.1 配合資訊安全管理制度活動。
3.3.2 遵守相關資訊安全管理制度規範。
4. 定義
4.1 資訊安全
保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
4.2 資訊資產
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務與建築與保護類設施等皆屬之。
5. 作業內容
5.1 原則
5.1.1 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估,確定資訊作業安全需求,建立「資訊安全管理程序」作業標準,採取適當資訊安全措施,確保資訊資產安全。
5.1.2 依人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。
5.1.3 資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。
5.1.4 建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理,並訂定業務持續計畫且定期演練,以確保資訊系統或服務持續運作。
5.1.5 依據個人資料保護法與智慧財產法之相關規定,審慎處理及保護個人資訊與智慧財產權。
5.1.6 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。
5.1.7 違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。
5.1.8 為確保本院同仁皆知悉本院資訊安全要求,另訂定「資訊安全宣言」(詳附件一)告知本院同仁遵悉。
5.2 目標
5.2.1 建構資通安全防護及資安事件通報處理應變作業程序,建立網路合法使用及不當資訊處理規範與機制,保護智慧財產權。
5.2.2 有效支援行政管理作業,強化人力與技術,精進組織作業及服務流程,建構安全完備之資訊作業環境。
5.2.3 安全穩定的HIS醫療系統、LIS檢驗資訊系統、PACS影像管理系統、公文系統。
5.3 審查
5.3.1 本政策應至少每年評估一次或於組織重大變更時(如組織架構調整)評估,以反映相關法令、技術及資訊室業務等最新發展現況,並予以適當修訂。
5.3.2 本政策經資訊審查委員會核准,於公告日施行,並以書面、電子或其他方式通知資訊室所有員工及提供資訊室資訊服務之廠商,修正亦同。
6. 相關資料
6.1 【資訊安全管理作業流程及程序】。
6.2 【資訊安全組織管理作業流程及程序】。

資訊安全宣言
天主教仁慈醫療財團法人仁慈醫院(以下簡稱本院)資訊安全工作之最終目的在於,透過對人員、作業及資訊科技之管理,確保本院醫療資訊處理作業能安全有效地運作,防範醫療資訊處理作業過程,發生影響醫療資訊機密性、完整性及可用性之安全事件,以保障社會大眾個人醫療資訊隱私權益為前提,整合基層醫療資訊系統之服務提供,進而建設醫療體系之全景。

本院之資訊安全工作係以系統化之風險評估及風險管理為基礎,以管理及技術並重作為實施風險控制措施之原則,並由全體同仁落實於日常工作中,共同努力達成下列目標,以實現本院資訊安全工作之目標:
  • 醫療資訊與隱私權之保護完全符合法令要求。
  • 醫療、行政資訊處理過程與結果之完整正確。
  • 資訊系統與資訊處理作業服務之不間斷。
本院同仁在資訊安全應扮演之角色及權責等有關規定,應在程序書、工作說明書或有關作業手冊中詳細載明,經由公告程序,責成作業管理人員於執行職務相關管理作業之前,必須先瞭解與熟悉本院資訊安全相關作業規範,俾益其遵守與實行。

本院所有資訊安全管理相關同仁、約聘人員、委外廠商、系統硬軟體維護之簽約廠商,或與本院有業務往來且涉及資訊資產完整性與隱密性之資訊安全管理範圍者,應簽署保密協議書,使其瞭解於本院工作期間所有取得之資訊皆為本院之資產,且不被允許使用於其他未授權之用途上,以昭示本院維護醫療資訊安全之決心。

若發現未遵循本政策或有行使任何危及本院資訊安全之行為,應依院內相關懲處管理規範處理或訴諸適當之懲罰或法律行動。

為反映政府資訊安全政策、法令、技術及機關業務之最新狀況,本院將適時修訂本宣言,以確保資訊安全實務作業之可行性、有效性及持續改善。
 
更新日期:2022-10-19

TOP