1.目的:確保衛生福利部臺北醫院(以下簡稱本院)資訊室所屬之資訊資產機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本院員工及病患之權益。
2.範圍:資通安全管理涵蓋下列管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本院帶來各種可能之風險及危害。管理事項如下:
2.1安全政策。
2.2資通安全組織。
2.3人力資源安全。
2.4資產管理。
2.5存取控制。
2.6密碼管理。
2.7實體與環境安全。
2.8作業管理。
2.9通訊管理。
2.10系統獲取、開發及維護。
2.11供應商管理。
2.12資通安全事故管理。
2.13營運持續管理。
2.14遵循性。
2.15資料安全管理。
2.16變更與組態管理。
2.17雲端服務管理。
3.參考資料:無
4.定義:無
5.內容:
5.1政策:為使本院業務順利運作,維護資訊機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),保障民眾醫療隱私,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。
5.1.1應保護機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改,並適時提供所需之醫療資訊。
5.1.2醫療業務執行須符合相關法令或法規之要求。
5.1.3建立醫療資訊業務持續計畫,強固核心資通系統之韌性,確保本院業務持續運作。
5.1.4應建立資通安全風險管理機制,定期因應內外在資通安全情勢變化,檢討資通安全風險管理之有效性。
5.1.5應因應資通安全威脅情勢變化,辦理資通安全教育訓練,以提高本院同仁之資通安全意識,本院同仁亦應確實參與訓練。
5.1.6針對辦理資通安全業務有功人員應進行獎勵。
5.1.7勿開啟來路不明或無法明確辨識寄件人之電子郵件。
5.2目標:本院執行資通安全管理制度需達以下目標:
5.2.1每年至少辦理一次社交工程演練。
5.2.2完成B級機關應辦事項。
5.3 責任
5.3.1本院的管理階層建立及審查此政策。
5.3.2資通安全管理者透過適當的標準和程序以實施此政策。
5.3.3所有人員和合約供應商均須依照程序以維護資通安全政策。
5.3.4所有人員有責任報告安全事件,和任何已鑑別出的弱點。
5.3.5任何蓄意去危及資通安全的行為將受到相關懲罰或法律行動。
5.4審查:本政策應至少每年評估1次,以反映政府法令、技術及業務等最新發展現況,以確保它對於維持營運和提供就醫民眾適當醫療服務的能力。
5.5本政策經資訊發展暨資通安全委員會會議通過,簽陳資通安全長核定。
5.6宣導:依文件資料管制作業程序書公告發行,於公告日施行,並以書面、電子或其他方式通知員工及與本院連線作業之有關機關(構)、廠商,修正亦同,並檢視執行成效。
5.7檢討程序:資通安全政策及目標應定期每年於資通安全管理審查會議中檢討其適切性。
6.附件:無
7.使用表單:無
來源:衛生福利部臺北醫院資通安全政策
發行日期:113.5.30