緊急應變 > 資訊安全政策

壹、 目的

確保本院資訊系統服務正常且安全穩定的運作,規範本院資訊室與資訊機房之資訊安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保資訊室與資訊機房之資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,進而保障資訊系統服務使用者之權益。

貳、 範圍

基於本院以保護資訊資產機密性、完整性、可用性為目標,且資訊機房為本院資訊系統服務之重要基礎架構,故將資訊室與資訊機房優先納入資訊安全管理範圍,展現負責之經營管理理念,期日後將資訊安全管理制度拓展至其他範圍。

    為避免因人為疏失、蓄意或天然災害等因素,導致資訊資產

不當使用、洩漏、竄改、破壞等情事發生,對本院帶來可能之風

險及危害。資訊室與資訊機房之資訊安全管理事項如下:

一、   資訊安全政策。

二、   資訊安全組織。

三、   資訊資產管理。

四、   實體與環境安全管理。

五、   通訊與作業管理。

六、   存取控制管理。

七、   資訊安全事故管理。

八、   遵循性管理。

參、 權責

一、 資訊安全推動委員會

二、本院資訊室與資訊機房資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。

三、 資訊室同仁、資訊系統服務使用者、委外人員配合資訊安全管理制度活動。

四、 遵守相關資訊安全管理制度規範

 

肆、 定義

一、 資訊安全保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。

二、 資訊資產對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務與建築與保護類設施等皆屬之。

 

伍、 作業內容

一、  原則

(一) 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估。

(二) 確定資訊作業安全需求,建立作業標準程序,採取適當資訊。

(三) 安全措施,確保資訊資產安全。

(四) 依人員角色及職能為基礎,建立評估或考核制度,並視實際需要。

(五) 辦理資訊安全教育訓練及宣導活動。

(六) 資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。

(七) 建立資訊安全事故管理程序書,以確保事故妥善回應、控制與處理,並訂定演練計畫並定期演練,以確保資訊系統或服務持續運作。

(八) 依據個人資料保護法之相關規定,審慎處理及保護個人資訊。

(九) 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。

(十) 違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。

(十一)  為確保本院同仁皆知悉本院資訊安全要求,另訂定「資訊安全宣言」告知本院同仁遵悉。

 二、目標

(一) 維持資訊室與資訊機房業務持續運作。

(二) 保護資訊室與資訊機房資訊資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。

(三) 建立資訊室與資訊機房之標準作業程序,避免人為作業疏失及意外,加強同仁資訊安全意識。

 三、審查

(一).本政策應至少每年評估一次,以反映相關法令、技術及資訊室業務等最新發展現況,並予以適當修訂。

(二).本政策經資訊安全管理委員會核准,於公告日施行,並以書面、電子或其他方式 通知各單位及經資訊室資訊服務之廠商,修正亦同。

 

護理之家