1 目的
為確保國立成功大學醫學院附設醫院斗六分院(以下簡稱本院)管轄資訊資產之機密性、完整性、安全性、可用性及符合相關法規之要求,進而保障本院及就醫民眾之權益,特訂定本政策。
2 適用範圍
本政策適用於本院所有資通系統、資通服務業務,包含全院員工、本院業務往來之外部單位、對本院提供服務、勞務之委外廠商。
3 資通安全政策
建立可靠完整的核心資通系統與網路系統,提供全院同仁及民眾安全的資通服務。
4 資通安全目標
4.1 量化型目標
本院之量化型目標依本院執行之資訊安全管理制度(ISMS)需達成之資通安全目標,依據「ISMS-3-D6-012資訊安全管理系統量測指標作業說明書」之相關規定辦理。
4.2 質化型目標
4.2.1 落實資通安全,強化資訊服務品質:由全體同仁貫徹執行資通安全管理,所有資通作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核資通安全管理制度的工作,強化服務品質,提升服務水準。
4.2.2 加強資安訓練,符合法令要求規範:督導全體同仁落實資通安全管理工作,每年持續進行適當的資訊安全教育訓練,建立「資通安全,人人有責」的觀念,促使同仁瞭解資訊安全之重要性,促其遵守資通安全規定,藉此提高資通安全認知及緊急應變能力,降低資通安全風險,達持續營運之目標。
4.2.3 規劃持續營運,迅速完成災害復原:訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資通系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。
4.2.4 適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
4.2.5 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
4.2.6 有效偵測與預防外部攻擊。
5 責任劃分
5.1 各級主管應支持資訊安全管理系統之推動。
5.2 成立跨單位之資通安全小組,負責資通安全管理推動事宜,並透過管理審查會議,檢討資通安全管理績效。
5.3 資通安全小組綜合規劃分組應識別資通安全管理有關之關注各方,以及其對資通安全之要求,適時修改四階文件,以確保資通安全管理符合相關規定。
5.4 資通安全小組綜合規劃分組每年應針對自行或委外開發之資通系統,依據「資通安全責任等級分級辦法」附表九完成資通系統分級,鑑別本院核心資通系統。
5.5 透過「適用性聲明書」,鑑別資訊安全管理系統驗證範圍邊界與適用性。
5.6 各部門應指定主管人員負責資通安全管理事項之協調及推動,另視資通安全管理需要,指定適當人員負責辦理資通安全相關事宜。
5.7 本院全體員工(正式員工、院聘人員)、與本院業務往來之外部機關、對本院提供或預計提供服務、勞務之委外服務廠商應遵守本政策及資通安全管理相關文件規定,並於發現資通安全事件時通報醫療事務組(資訊)。
5.8 醫療事務組(資訊)應每年針對本院之需要並配合主管機關之規定,就各類人員辦理資通安全教育訓練。
6 風險評估與管理
6.1 資訊資產、醫療儀器應建立分類與管理機制,並進行風險評估與管理工作,以有效掌控本院之資通安全風險。
6.2 規劃資通安全管理時,應考慮影響醫院資通安全管理達成預期效果的內部與外部議題,並決定需要解決之風險和機會,防止或減少對醫院不利之影響,實現持續改進資通安全管理承諾。
6.3 執行風險評估後,應針對不可接受之風險建立風險管理機制(如降低、移轉、避免或接受),並落實執行追蹤控制。
7 違反資通安全規定之處置
本院全體員工(正式員工、院聘人員)、與本院業務往來之外部機關、對本院提供或預計提供服務、勞務之委外服務廠商未遵循本政策,或有任何危及本院資通安全之行為,將予議處。
8 政策文件維護權責
8.1 本政策應每年定期或發生重大變更時審查,以確保以下列事項:
8.1.1 建立資通安全目標或提供建置資通安全目標之框架。
8.1.2 滿足資通安全相關要求之承諾。
8.1.3 實現本院持續改進資通安全管理之承諾。
8.2 本政策由醫療事務組(資訊)制定,並經院長核定後實施,修正時亦同。