資訊安全政策

1. 目的

本政策旨在建立並維護本院資訊系統的安全性，以確保資訊資產的機密性、完整性、法遵性及可用性，同時考慮氣候變遷對資訊安全的潛在影響。此政策旨在確保輔英科技大學附設醫院資訊系統服務正常且安全穩定的運作，降低資訊安全風險，符合法規及 ISO 27001 標準要求，並增強組織應對氣候相關威脅的韌性。

2. 範圍

本政策適用於輔英科技大學附設醫院的所有資訊系統、網絡設備及相關資訊資產，涵蓋資訊部門、資訊機房、病歷資訊管理部、外部服務提供者及全體員工。政策旨在保護資訊資產的機密性、完整性、可用性及法規遵循，並應對氣候變遷帶來的風險，如極端天氣、供應鏈中斷及實體安全等。

• 資訊安全管理作業流程及程序
• 組織控制措施管理作業流程及程序
• 人員控制措施管理作業流程及程序
• 實體控制措施管理作業流程及程序
• 技術控制措施管理作業流程及程序

此外，本院日常作業涉及的個人資料及去識別化過程，亦納入政策範疇，確保其安全與合法使用。

3. 權責

• 資訊安全及管理委員會：核定本政策，負責資訊安全決策。
• 資訊安全管理會議：協調資訊安全管理相關事務，並提報資訊安全及管理委員會。
• 資訊安全推動組：規劃、實施、維護資訊安全制度，並持續改善。
• 資訊部門及病歷單位：共同遵守本政策。
• 外部資訊服務提供者：必須遵守本政策。

4. 定義

• 資訊安全：透過控制措施，確保資產的機密性、完整性、法遵性及可用性。
• 氣候變遷風險：極端天氣或環境變化可能對資訊系統帶來的影響。
• 資訊資產：包括文件、硬體設備、軟體、數據資料及相關流程。
• 電子個人資料：可識別個人身份的資料，如姓名、聯絡方式、病歷等。

5. 作業內容

• 資訊安全管理規範符合法規要求，定期風險評估及稽核。
• 採取最小權限原則，設置存取控制。
• 建立資訊安全事故通報及應變程序，確保業務持續性。
• 提供員工定期教育訓練，提高資訊安全意識。
• 每半年進行稽核，確保政策的執行及有效性。

6. 審查與修訂

本政策至少每年評估一次，並於重大變更時進行審查與修訂，以符合最新的法規及業務需求。

7. 附則

本政策如有未盡事宜，悉依相關規定辦理。