資訊安全政策
 
阮綜合醫療社團法人阮綜合醫院
                                                                                                                                                                                                     
 生效日期 110年08月23日

一、   目的

為遵循相關法令並保護阮綜合醫療社團法人阮綜合醫院(以下簡稱本院)所屬之資訊資產的機密性、完整性及可用性,使其免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂資訊安全政策(以下簡稱本政策)以做為遵循依據。

二、   範圍

本政策適用於全院之全體同工、委外廠商、第三方人員以及所有相關資訊資產之安全管理。

三、   說明

(一)  維護本院資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。本院資訊安全政策訂為:

1.  保護本院業務活動資訊,避免未經授權的存取。

2.  保護本院業務活動資訊,避免未經授權的修改,確保其正確完整。

3.  建立資訊業務永續運作計畫,確保本院業務活動之持續運作。

4.  本院之業務活動執行須符合相關法令或法規之要求。

(二)  為達成本院資訊安全政策目的,相關目標訂定如下:

1. 確保相關資訊安全措施或規範符合政策與現行法令之要求,每年至少進行一次資訊安全查核。

2. 每年至少進行一次業務永續計畫之測試及檢核。

3. 確保資訊資產受適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。

4. 確保所有資訊安全事件或可疑之安全弱點,皆依適當通報程序反應,並予以適當調查及處理。

5. 符合政府資訊安全相關政策、規定以及相關法令要求。

6. 定期實施資訊安全教育。

(三)  資訊安全責任

1. 本院的管理階層應建立及核定本政策,並定期召開管理審查會議,審核本政策之修訂,以確保本政策符合現行需求。

2. 本院管理階層應宣示落實資訊安全之決心,以確保本院資訊安全措施之實施,並責成相關單位與人員成立資訊安全推行小組,配置資訊安全責任與進行有效之資源管理。

3. 本院資訊室(以下簡稱資訊室),辦理本院資訊及資訊安全相關事項,負責本院相關資訊系統與資訊安全之規劃、協調及推動工作和資訊環境之資訊安全維護與管理。

4. 本院各部門應遵循並落實本政策之要求。

5. 資訊安全管理者透過適當的標準和程序以實施本政策。

6. 所有人員、各連線使用單位、簽約廠商和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。

7. 所有人員皆負有通報所發現之資訊安全事件或資訊安全弱點之責任。

8. 本院所有人員應瞭解於工作期間所有取得之資訊皆為本院之資產,未經允許,禁止做任何其他未授權之使用。

9. 本院與委外服務廠商簽訂相關合約時應遵循本政策之規定與相關要求。

10.   資訊室所有委外廠商皆須簽署保密協議書,並遵循本政策以及相關程序之規定,不得未經授權使用或濫用本院之各類資訊資產。

11.   本院所有人員違反本政策,或發生其他任何危及本院資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本院之相關規定進行懲處。

(四)  注意事項

1.   本政策應至少每年審查乙次,以反應政府法令、技術及業務等最新發展現況,以確保本院永續運作及提供資訊服務之能力。

2.   資訊安全政策配合管理審查會議進行資訊安全政策審核。

3.   本政策經資訊暨電子病歷管理委員會核定後實施,修訂時亦同。