瀏覽人氣:1,096

資訊安全政策

佛教慈濟醫療財團法人台北慈濟醫院資訊安全政策

2023/12/11修訂

目的

隨著醫療機構資訊化作業及個人資料保護法資通安全管理法之實施,為確保個人資料及病歷資料安全性,建置完善資通安全系統已成為醫療機構不可或缺之重要措施,因此為確保佛教慈濟醫療財團法人台北慈濟醫院(以下簡稱本院)資通系統服務正常且安全穩定的運作,特制定資通安全政策(以下簡稱本政策)以作為規範本院之資通安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保本院之資通資產之機密性、完整性、可用性及適法性,以期維持本院業務持續運作,降低資訊作業風險,進而保障本院資通系統服務使用者之權益及資產安全。同時建立資通安全人人有責之觀念,共同遵循本院資訊安全相關規範。

 

適用範圍

基於保護本院資通資產機密性、完整性、可用性與適法性為目標,資訊室、資訊機房、醫工暨核心資通系統(HIS&PACS)、網路系統維運安全管理作業與人體生物資料庫(BIOBANK)安全管理作業為本院資訊系統服務之核心所在,故以資訊室、資訊機房、醫工暨核心資通系統(HIS&PACS)、網路系統維運安全管理作業與人體生物資料庫(BIOBANK)安全管理作業定為本院資訊安全管理範圍,推動建置完善資通安全管理制度與服務系統,以保障本院資通資產安全。

參照ISO27001/CNS27001 本文及資通安全要項,資訊室、資訊機房、醫療資訊系統及網路系統維運安全管理作業之資通安全要項涵蓋14項管理事項,其目的在於避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,進而對本院帶來可能之風險及危害。

管理事項如下:

  • 資通安全政策
  • 資通安全的組織
  • 人力資源安全管理資產管理
  • 存取控制
  • 密碼學
  • 實體及環境安全
  • 運作安全
  • 通訊安全
  • 系統獲取、開發及維護供應商關係
  • 資通安全事故管理營運持續管理
  • 遵循性管理

適用人員

於本院服務之員工、約聘人員及外包供應商。

定義

  • 資通安全:保存資訊的機密性、完整性、可用性、適法性;此外亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質;亦避免因人為或自然災害等風險,運用系統化之控制措施,以確保資訊安全管理制度範圍內之資訊資產受到妥善保護
  • 資通資產:凡與本院Information Technology(IT)資訊及Operational Technology(OT)醫療儀器、基礎工程設施(水、電、空調)等相關之資訊網路及資通系統之資產,如文件、人員、軟體、硬體、服務與建築等,皆屬之。
  • 資通安全異常事件:凡因人為或自然災害因素,造成本院資訊系統服務中斷,或本院資訊資產遭竄改、刪除或竊取等,皆屬之。
  • 醫療資訊系統:泛指與醫院臨床治療與照護相關之資通系統(如醫囑,護理、檢驗、檢查、藥局、病歷管理(含電子病歷)、影像儲存傳輸等)。

作業說明

權責

  • 資通發展暨安全管理委員會:本院資通系統發展暨安全管理階層決策組織。
  • 資通安全推動組:本院資訊室、資訊機房、醫療資訊系統及網路維運作業資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資通安全相關議題於資通發展暨安全管理委員會提報。
  • 所有員工、約聘人員及外包供應商皆應遵循本資通安全政策,共同維護本院資訊安全。

通則

  • 應考量相關法律規章及營運要求,進行資通資產之資訊風險評鑑,確定資訊作業安全需求,採取適當資訊安全措施,確保資訊資產安全。
  • 依角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資通安全教育訓練及宣導。
  • 定期執行資通安全稽核作業,檢視資通安全管理制度之落實。
  • 資通資產存取權限之賦予,應業務需求並考量最小權限與權責區隔。
  • 建立資通安全事故通報及應變程序,以確保本院資通服務能持續運作。
  • 訂定業務持續計畫並定期演練,以確保重大資安事故發生時,能妥善回應。
  • 依據個人資料保護法、醫療法與著作權法等相關規定,審慎處理及保護醫療電子紀錄、個人資訊與著作權。
  • 為確保本院同仁皆知悉本院資通安全要求,另依據「醫療志業資訊保密辦法」公告本院同仁周知,並要求所有同仁簽署「醫療志業資訊保密承諾書」或以書面方式於「同仁聘任合約書」中簽署亦可。
  • 辦理資通安全宣導課程,強化員工資訊安全之認知,建立資訊安全人人有責之觀念。
  • 若違反本政策與資通安全相關規範,依相關法規或本院人事規定辦理。

目標

  • 維持本院營運資通系統服務持續順暢正常運作。
  • 保護本院資通資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為,以保障病歷及個人資料等資通資產之機密性、完整性、可用性。
  • 建立本院資通系統服務之標準作業程序,避免人為作業疏失及意外,同時加強同仁資通安全意識。
  • 辦理本院資通安全目標之規劃、量測、審查及改善,依照本院資通安全管理作業程序辦理,以因應不同資通安全之要求與期望,力求達成資通安全管理之目標。

審查

  • 本政策應至少每年審查一次,以反映相關法令、技術及資訊服務等最新發展現況,並予以適當修訂;如遇重大變更,得隨時招開資通發展暨安全管理委員會進行審查。
  • 本政策經本院資通發展暨安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知所有員工及提供資訊服務之相關廠商與關注方,修正亦同。
  • 本辦法經院部核可後公告實施,修正時亦同。