一、目的:
為確保本所公共衛生、防疫及醫療門診資料的機密性、完整性與可用性,強化資訊安全管理,保護資訊免受內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策,並以書面、電子方式通知員工及與本所連線作業之有關機關、民眾共同遵行。並作為本所有關資訊安全管理組織權責分工、人員教育訓練、電腦軟硬體、網路及實體環境管理之準則。
二、依據:
(一) 醫師法、醫療法及其施行細則。
(二) 電腦處理個人資料保護法。
(三) 行政院及所屬各機關資訊安全管理要點。
(四) 行政院及所屬各機關資訊安全管理規範。
(五) 台南縣衛生局「網站管理暨資通安全緊急應變計畫作業處理注意事項」
三、 安全範圍:
本作業規範之範圍包括人員、應用系統、硬體設備及網路設施等部分。
(一) 人員:適用本所正職人員及約聘、契約人員及使用本所資訊資源之委外廠商(衛生署全國醫療資訊網服務中心及其合約資訊公司)網服務中心
(二) 應用系統:
1.本所醫療資訊系統。
2.網頁及郵件資訊系統。
(三) 硬體及其設施:各主機、伺服器、工作站及個人電腦。
(四) 網路設施:本所各辦公室內部網路(Intranet)及網際網路(Internet)及其相關設施。
四、 安全組織:
為統籌資訊安全管理等事項之協調及推動,成立資訊安全管理推行小組,並由主任、電腦主辦、及兼辦政風組成。電腦主辦負責實際執行。
五、 安全責任:
(一) 本所主任應適時覆核、修訂本政策,以確保政策符合現行需求。
(二) 資訊安全管理推行小組透過適當程序落實本政策之要求。
(三) 全體員工、約聘僱人員及委外廠商都有責任遵循本安全政策。
(四) 全體員工都有責任及義務透過適當管道回報所發現的資訊安全意外事故或資訊安全弱點。
(五) 任何危及資訊安全之行為,都應予以適當懲罰或訴諸法律。
(六) 相關的資訊安全措施或規範應符合現行法令之要求。
六、存取控制及維護:
(一) 各主機或工作站應定期變更密碼,密碼應包含英文字母及數字至少七位字元。
(二) 進入系統作業人員應由各該主辦人員或使用及單位主管,申請核配通行密碼及識別,使用者應立即變更密碼。
(三) 主機、工作站應定期偵測病毒碼、木馬程式及間諜軟體,掃描處理結果並應做成紀錄備查。
七、資訊資產應分類管理,區分成不同風險等級,有效掌控本所之資訊安全, 據以監督控管,並落實執行追蹤控制。
八、資訊安全政策實施後,資訊安全管理推行小組須每年評鑑一次,以反映政府法令、技術及業務等最新 發展現況,確保資訊安全實務作業之有效性。
九、本政策經 主任核可後實施,修正時亦同。