資訊安全政策

壹、目的

    一、衛生福利部雙和醫院(以下簡稱本院)以創新、卓越、尊重生命的理念,達成大學附設醫院暨委託辦理醫療體
      系教學、研究、服務之使命。秉持醫學倫理,貫徹以病人為中心的理念,漸續引進新資訊科技,發展醫療資訊
      系統以提升照護品質,確保病人安全。
    二、為維護本院資訊系統正常運作,管理來自不同層次的潛在資訊安全威脅,以免因天災或人為的不當,殃及本
      院業務的運作,特訂定本政策。

貳、政策願景及目標

    一、資訊安全政策願景:
      強化人員認知、避免資料外洩
      落實日常維運、確保服務可用
    二、 依據資訊安全政策願景,擬定資訊安全目標如下:
     (一)、 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
     (二)、 保護本院業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
     (三)、 定期進行稽核作業,確保相關作業皆能確實落實。
     (四)、 確保本院關鍵核心系統維持一定水準的系統可用性。

參、 責任劃分

    一、為辦理醫院資訊安全之政策、資源調度等協調研議,及資訊安全管理事項,本院成立資訊管理委員會,
      綜理醫院資訊安全管理相關事宜。
    二、資訊管理委員會應確定與ISMS有關之關注各方,以及其對資訊安全之要求,並在符合『資通安全管理法』
      及醫院資訊安全推動目的下,建立ISO 27001(CNS 27001)資訊安全管理系統標準。
    三、各單位及各級業務主管人員應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
    四、醫院正式人員、約聘僱人員、委外廠商與業務合作夥伴應遵守本政策及其他相關資訊安全規定。
    五、人員未遵循本政策,或行使其他任何危及本院資訊安全之行為,都將訴諸適當之懲罰程序或法律行動。

肆、 作業內容

    一、 執行要素
     (一)、 高階管理支持:推動資訊安全管理制度不僅為專業技術問題,更是管理問題
       ,高階管理階層支持與參與,推展必然順利。
     (二)、 政策先行:推動需考量時間,確定認證與實施範圍,列出優先順序,逐步推展。
     (三)、 全體共識:充分了解資訊安全管理制度的重要性,建立使命感,積極推動。
     (四)、 專家輔導:資安專家意見與已獲得認證單位意見,極為重要,將善用專家經驗與能力。
     (五)、 教育訓練:適度資安教育訓練,培養資訊安全管理技能。
     (六)、 定期稽核:透過稽核程序,找出資安問題,提出改善建議,降低資安風險。
     (七)、 持續改善:發現資安議題應即時研商對策,謀求改善機制,健全資訊安全管理制度。
    二、 實施原則
     (一)、 標準與法規:依據資訊安全管理標準ISO 27001,作為醫院推動與建置資訊安全管理制度的規範。
     (二)、 教育與認知:透過資安教育訓練,使醫院同仁充分了解資訊安全管理制度的重要性,
      積極協助制度的實施。
     (三)、 資訊管理:本院需將資訊分類,不同等級資訊評價,應有相對保護管制措施;同時應掌握資訊
      服務所有步驟與記錄,任何人存取或使用資訊資產,均應僅限業務或任務之授權。
     (四)、 環境管理:本院資訊傳輸、儲存及運用資訊資產所依賴之環境,應加強安全防護措施
        ,確保實體環境安全。
     (五)、 人員安全:為有效實施資訊資產的安控機制,必須建立及驗證參與工作人員技術能力、
       鑑別技術人員工作經驗,以符合要求之機制。
     (六)、 工作倫理:訂定安全政策及實施安全衡量標準時,應顧及個人權利與尊嚴;
       安全管理政策應符合公正原則及考量個人隱私權。
     (七)、 系統安全:確保執行監測業務所需的各種系統與應用系統均妥善建置;定期安檢與防護,
       確保系統完整性,使資安事件機率降低。
     (八)、 存取控管:建置適當的控管機制,列入管制資料的存取,必須獲得授權;
       傳輸與儲存列入管制的電子資料,必須加密處理。
     (九)、 持續運作:應有妥善應變計畫,以保護資訊資產與資訊系統遭受破壞時,能快速回復原有功能,
       提供永續性服務。
     (十)、 風險管理:應用風險管理技術來鑑別資訊資產價值,釐清面對的威脅與漏洞、法令規章的要求,
       據以採取相對應之措施,確保應受保護資訊的機密性、完整性及可用性。
    三、控制措施之有效性量測
       為量測本院資訊安全管理制度之控制措施的有效性,應定出執行本系統的目標,
       再由建置資訊安全管理制度的目標檢視各項控制措施或控制措施群是否能有效地將風險控制在可接受的風險內
       ,並記錄於「ISMS-L1-01-F01_資安目標量化表」定期量測,產出相關的量測結果報告,
       並於年度管理審查會議中提出與檢討。

伍、 實施與修訂

    一、 本政策經「資訊管理委員會」每年定期審議,另組織、業務、法令或實體環境等因素之更迭時,
       應予以適切修訂。本政策經「資訊管理委員會」召集人核定後公布施行,修訂時亦同。
    二、 變更之規畫
    (一)、 本院ISMS因實務與運作之必要而須進行重大異動時,應對變更之需求進行相應之規畫後始得進行。
    (二)、 重大異動項目:
     1. 資訊安全政策及組織
     2. 資訊安全管理系統範圍
     3. 組織全景評鑑作業方法
     4. 風險評鑑作業方法論
     5. 內部稽核作業
     6. 管理審查要點內容
     7. 矯正與改善作業
     8. 資訊處理設施