1. 前言
為建立高雄榮民總醫院(含臺南、屏東分院)(以下簡稱「本院」)安全及可信賴之電子作業環境,遵循ISO/IEC 27001 資訊安全管理系統(Information Security Management System, ISMS)之各項要求,使本院能有效達成及管理各項資訊安全作為,並透過籌劃、管理、稽核及追蹤等手段,確保本院能達成各項資訊安全政策目標。
2. 願景
防範資安事件、確保系統可用適當隱私保護、落實安全管理。
3. 目標
3.1 防範本院業務運作遭受資訊安全事件之影響。
3.2 確保主機資料庫與相關應用系統正確執行。
3.3 資料處理符合業務單位之需求,保存及取用管控完善,確保病患隱私得到適當保護。
3.4 確保本院電腦機房、網站及網路安全。
4. 定義:
乃為避免因人為疏失、蓄意或天然災害等因素,導致資訊系統及其資料遭不當使用、
洩漏、竄改及破壞,以維持系統與資料的可用性、完整性和機密性,降低對本院可能帶來之風險及危害程度。
5. 適用範圍
本院ISMS 適用範圍包括人員、應用程式、硬體設備及網路設施。
6. 措施:
採行具成本效益之管理、制度、流程及技術進行管控,以確保資訊蒐集、處理、傳送、儲存或流通之安全。如與其他機構間流通敏感性、機密性或有管制必要等之資料時,亦應遵守相關規定。
7. 權責劃分:
依據「資訊安全組織管理程序」成立相關組織並進行各項資安作業。
8. 罰則:
同仁或供應商如違反本政策及相關法令致危害本院資訊安全,資訊室應立即停止其使用權利,情節重大者,立即通報政風室會同查處。
9. 審查與評估:
9.1 應針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間以及結果評估方式與評估結果,並將相關資料填入「年度資通安全工作績效追蹤表」中。
9.2 應於管理審查會議中,陳報資訊安全目標有效性量測結果。
9.3 本政策將依據本院外在資訊安全及網路環境變化,於年度管理審查時進行檢討。