同仁醫院資訊安全管理政策

1.目的

同仁醫院（以下簡稱本院）為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本院之資訊業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。

2. 適用範圍

資訊安全管理涵蓋10項管理事項，避免因人為疏失或蓄意破壞等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本院帶來各種可能之危害。管理事項如下：

2.1 資訊安全政策訂定。

2.2 資訊安全組織。

2.3 資產管理。

2.4 人力資源安全。

2.5 實體與環境安全。

2.6 通訊與作業管理。

2.7 存取控制安全。

2.8 系統開發與維護之安全。

2.9 資訊安全事件之反應及處理。

2.10 相關法規與施行單位政策之符合性。

與醫療資訊系統伺服器有關之本院操作人員及其委外服務廠商皆應遵守本政策。

3.定義

3.1 資訊資產：係指為維持本院資訊業務正常運作之硬體、軟體、服務、文件及人員。

3.2 業務持續運作之資訊環境：係指本院醫療資訊系統正常持續運作，所需之電腦作業環境。

3.3 與醫療資訊系統伺服器有關之操作人員(以下簡稱操作人員)：係指本院醫療資訊系統伺服器或與伺服器連結工作站之操作人員。例如進入安全區域(伺服器機房)操作伺服器之委外服務資訊工程師；本院連結伺服器之工作站操作人員，即掛號批價人員、診間醫師、藥師、醫事檢驗師、醫事放射師、病歷室行政員、保險申報員、病房主治醫師及資訊安全委員會核准之操作人員；與委外廠商以工作站透過遠端連結伺服器之維護人員。

4.目標

維護本院資訊資產之機密性、完整性與可用性，並保障個人資料隱私。達成下列目標：

4.1 保護本院醫療作業資訊系統，避免未經授權的存取；避免未經授權的修改，確保其正確完整。

4.2 建立資訊安全組織，制訂、推動及實施，改進資訊安全管理事項，確保本院具備可供醫療作業資訊系統持續運作之環境。

4.3 辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。

4.4 實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。

4.5 本院之業務活動執行須符合相關法令或法規之要求。

5.責任

5.1 本院資訊安全政策由資訊安全委員會建立、審查及推動實施。

5.2 操作人員均須依照本院資訊安全相關規定辦理，以維護資訊安全政策。

5.3 操作人員有責任報告資訊安全事件和任何已鑑別出之弱點。

5.4 任何危及資訊安全之行為，依情節輕重追究其民事及刑事，或按本院工作規則(同仁手冊)第41、42條規定懲處。

6.審查

本政策應至少每年審查乙次，以反映政府法令、技術及業務等最新發展現況， 以確保本院永續運作及資訊安全實務作業能力。 

7.實施

7.1 資訊安全政策配合本院院務會議進行資訊安全政策審核。

7.2  本政策經「資訊安全委員會」核定後實施，修訂時亦同。