資訊安全政策

佛教慈濟醫療財團法人台北慈濟醫院資訊安全政策

2019/11/11修訂

目的

隨著醫療機構資訊化作業及個人資料保護法之實施,為確保個人資料及病歷資料安全性,建置完善資通安全系統已成為醫療機構不可或缺之重要措施,因此為確保佛教慈濟醫療財團法人台北慈濟醫院(以下簡稱本院)資通系統服務正常且安全穩定的運作,特制定資通安全政策(以下簡稱本政策)以作為規範本院之資通安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保本院之資通資產之機密性、完整性、可用性及適法性,以期維持本院業務持續運作,降低資訊作業風險,進而保障本院資通系統服務使用者之權益及資產安全。同時建立資訊安全人人有責之觀念,共同遵循本院資訊安全相關規範。

適用範圍

基於保護本院資通資產機密性、完整性、可用性與適法性為目標,資訊室、資訊機房、醫療資訊系統及網路系統維運安全管理作業為本院資訊系統服務之核心所在,故以資訊室、資訊機房、醫療資訊系統及網路系統維運安全管理作業定為本院資訊安全管理範圍,推動建置完善資通安全管理制度與服務系統,以保障本院資通資產安全。

參照ISO27001/CNS27001 本文及資通安全要項,資訊室、資訊機房、醫療資訊系統及網路系統維運安全管理作業之資通安全要項涵蓋14項管理事項,其目的在於避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,進而對本院帶來可能之風險及危害。管理事項如下:資通安全政策、資通安全的組織、人力資源安全管理、資產管理、存取控制、密碼學、實體及環境安全、運作安全、通訊安全、系統獲取、開發及維護、供應商關係、資通安全事故管理、營運持續管理、遵循性管理。

適用人員

於本院服務之員工、約聘人員及外包供應商。

定義

  • 資通安全:保存資訊的機密性、完整性、可用性、適法性;此外亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質;亦避免因人為或自然災害等風險,運用系統化之控制措施,以確保資訊安全管理制度範圍內之資訊資產受到妥善保護
  • 資通資產:凡資訊室、資訊機房、醫療資訊系統及網路維運作業之資產,如文件、人員、軟體、硬體、服務與建築等,皆屬之。
  • 資通安全異常事件:凡因人為或自然災害因素,造成本院資訊系統服務中斷,或本院資訊資產遭竄改、刪除或竊取等,皆屬之。
  • 醫療資訊系統:泛指與醫院臨床治療與照護相關之資通系統(如醫囑,護理、檢驗、檢查、藥局、病歷管理(含電子病歷)、影像儲存傳輸等)。

作業說明

權責

  • 資通發展暨安全管理委員會:本院資通系統發展暨安全管理階層決策組織。
  • 資通安全推動組:本院資訊室、資訊機房、醫療資訊系統及網路維運作業資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資通安全相關議題於資通發展暨安全管理委員會提報。
  • 所有員工、約聘人員及外包供應商皆應遵循本資通安全政策,共同維護本院資訊安全。

通則

  • 應考量相關法律規章及營運要求,進行資通資產之資訊風險評鑑,確定資訊作業安全需求,採取適當資訊安全措施,確保資訊資產安全。
  • 依角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資通安全教育訓練及宣導。
  • 定期執行資通安全稽核作業,檢視資通安全管理制度之落實。
  • 資通資產存取權限之賦予,應業務需求並考量最小權限與權責區隔。
  • 建立資通安全事故通報及應變程序,以確保本院資通服務能持續運作。
  • 訂定業務持續計畫並定期演練,以確保重大資安事故發生時,能妥善回應。
  • 依據個人資料保護法、醫療法與著作權法等相關規定,審慎處理及保護醫療電子紀錄、個人資訊與著作權。
  • 為確保本院同仁皆知悉本院資通安全要求,另依據「醫療志業資訊保密辦法」公告本院同仁周知,並要求所有同仁簽署「醫療志業資訊保密承諾書」或以書面方式於「同仁聘任合約書」中簽署亦可。
  • 辦理資通安全宣導課程,強化員工資訊安全之認知,建立資訊安全人人有責之觀念。
  • 若違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。

目標

  • 維持本院營運資通系統服務持續順暢正常運作。
  • 保護本院資通資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為,以保障病歷及個人資料等資通資產之機密性、完整性、可用性。
  • 建立本院資通系統服務之標準作業程序,避免人為作業疏失及意外,同時加強同仁資通安全意識。
  • 辦理本院資通安全目標之規劃、量測、審查及改善,依照本院資通安全管理作業程序辦理,以因應不同資通安全之要求與期望,力求達成資通安全管理之目標。

審查

  • 本政策應至少每年審查一次,以反映相關法令、技術及資訊服務等最新發展現況,並予以適當修訂;如遇重大變更,得隨時招開資通發展暨安全管理委員會進行審查。
  • 本政策經本院資通發展暨安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知所有員工及提供資訊服務之相關廠商與關注方,修正亦同。
  • 本辦法經院部核可後公告實施,修正時亦同。