資訊安全政策

資訊安全政策

一、目的

強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本院之資訊業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。

二、依據

本院透過適當的風險評估，明確分析資訊安全有關資產之主要性，並了解潛在風險;同時透過資訊安全管理機制，藉以控管風險至可接受之程度。且相關人員於執行政策所規範之事項時，首重相關法令之遵循，包括個人資料保護法、行政院及所屬各機關資訊安全管理要點、本院與外部機構、單位或廠商所簽訂之各項合約、本院資訊安全政策及相關規範及其他相關法規。

三、適用範圍

本院資訊安全管理涵蓋11項管理領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本院帶來各種可能之風險及危害。

10項管理領域如下：
♦資訊安全政策訂定與評估
♦資訊組織安全
♦資產管理
♦人力資源安全
♦實體與環境安全
♦通訊與作業管理
♦存取控制安全
♦系統開發與維護之安全
♦資訊安全事件之反應及處理
♦相關法規與施行單位政之符合性。本院之內部人員、委外服務廠商與訪客皆應遵守本政策。

四、目標

本院全面電子病歷計畫，配合衛生福利部政策將於民國104年11月完成。維護本院資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目標：

 

♦保護本院業務活動資訊，避免未經授權的存取。

♦保護本院業務活動資訊，避免未經授權的修改，確保其正確完整。

♦建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本院具備可供業務持續運作之資訊環境。

♦辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。

♦執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。

♦實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。

♦本院之業務活動執行須符合相關法令或法規之要求。

五、責任

♦本院的管理階層建立及審查此政策。
♦資訊安全管理者透過適當的標準和程序以實施此政策。
♦所有人員及合約供應商均須依照作業程序以維護資訊安全政策。
♦所有人員及合約供應商均有責任報告資訊安全事件和任何已鑑別出的弱點。
♦若未遵循本政策或發生其他危及本院資訊安全之行為將視情節輕重依相關法令予以懲處。
♦本院所有相關同仁皆須簽署保密協議書，並瞭解於本部工作期間所取得之資訊均為本院資產，不得使用於其他未授權之用途。

六、審查與修訂

♦本政策應至少每年評估一次以反映政府法令、技術及業務等最新發展現況，  確保資訊安全管理系統持續的適用性、適切性及有效性。
♦本政策之修訂，需提經本院資訊安全及管理委員會審查通過。

七、實施

本政策經　院長核准，於公告日施行，並以書面、電子或其他方式通知員工及與本院連線作業之有關機關（構）、廠商，修正亦同。