資通安全政策

花蓮慈濟醫院公傳室 認識慈院

佛教慈濟醫療財團法人花蓮慈濟醫院資訊安全政策

2024/12/12修訂

目的:

  • 為確保佛教慈濟醫療財團法人花蓮慈濟醫院(以下簡稱「本院」)所屬之資訊資產的機密性、完整性及可用性,以符合「資通安全管理法」等相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,特訂定本政策。

適用範圍:

  • 本政策適用範圍為本院之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。
  • 資通安全管理範疇涵蓋組織、人員、實體及技術等4大領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本院造成各種可能之風險。

定義:

  • 資通安全

保存資訊的機密性、完整性、可用性、適法性;此外亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質;亦避免因人為或自然災害等風險,運用系統化之控制措施,以確保資訊安全管理制度範圍內之資通資產受到妥善保護。

  • 資通資產

凡與本院Information Technology(IT)資訊及Operational Technology(OT)醫療儀器、基礎工程設施(水、電、空調)等相關之資訊網路及資通系統之資產,如文件、人員、軟體、硬體、服務與建築等,皆屬之。

  • 資通安全異常事件

凡因人為或自然災害因素,造成本院資通系統服務中斷,或本院資訊資產遭竄改、刪除或竊取等,皆屬之。

  • 資通安全事件

系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。

  • 醫療資訊系統

泛指與醫院臨床治療與照護相關之資通系統,如醫療資訊系統(HIS) 、電子病歷(EMR) 、醫療影像存傳系統(PACS),或其他與醫囑、護理、檢驗、檢查、藥局、病歷管理及影像儲存傳輸等相關系統均屬之。

相關文件:

  • 資通安全管理法及其子法。
  • 個人資料保護法及其施行細則。
  • CNS 27001:2023。
  • 工作規則。
  • 醫療志業資訊保密辦法。
  • 資通安全管理法施行細則。
  • 財團法人全國認證基金會認證作業通報-ISO/IEC 27001:2022 轉版規定
  • 人員安全與教育訓練程序書。

作業內容:

  • 目標:

為維護本院資訊資產之機密性、完整性、可用性與法律遵循性,並保障使用者資料隱私之安全,期藉由本政策之實施以達成下列目標:

。 建立安全及可信賴之資通作業環境,確保本院電腦資料、系統、設備及網路之安全,以保障本院業務永續運作。

。 保護本院業務服務之安全,確保資通系統及相關資訊需經授權人員才可存取資訊,以確保其機密性。

。 保護本院業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。

。 建立本院業務永續運作計畫,以確保本院資通業務服務之持續運作。

。 確保本院各項業務服務之執行須符合相關法令或法規之要求。

。 為保護本院業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

。 提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。

  • 責任:

。 資通系統發展暨安全管理委員會統籌資通安全事項推動。

。 資通系統發展暨安全管理委員會管理階層應積極參與及支持資通安全管理制度,並透過適當的標準和程序以實施本政策。

。 本院全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。

。 本院全體同仁、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制,通報資通安全事件或弱點。

。 任何危及資通安全之行為,將視情節輕重追究其民事、刑事及行政責任,或依本院「工作規則」之獎懲規範及本院之相關規定進行議處。

  • 管理指標:

。 為評量資通安全管理目標達成情形,本院應訂定相關管理指標,並定期監控、評估及改善。

。 應定期審查本院資通安全組織人員執掌,以確保資通安全工作之推展。

。 應符合主管機關之要求,依員工職務及責任依「人員安全與教育訓練程序書」

提供適當之資通安全相關訓練。

。 應加強本院資訊資產之環境安全,採取適當之保護及權限控管機制。

。 應確保資訊不被透漏給未經授權之第三者。

。 應加強存取控制,防止未經授權之不當存取,以確保本院資訊資產已受適當之保護。

。 本院資訊系統開發應考量安全需求,並定期稽核安全弱點。

。 應確保所有資通安全事件或可疑之安全弱點,均依循適當之通報機制向上反應

,並予以適當調查及處理。

。 委外廠商及廠商駐點人員對業務上所接觸之資料之人員均應依本院規定填具保密切結書「佛教慈濟醫療財團法人花蓮慈濟醫院廠商委外契約個資保護切結書」及「佛教慈濟醫療財團法人花蓮慈濟醫院廠商資通安全保密切結書」,並應

遵循相關資通安全規範與要求。

  • 管理審查:

本政策應每年至少審查1次,以反映政府法令、技術及業務等最新發展情況,確保

本院業務永續運作之能力。資通安全組織、主管機關(或法令、法規要求)、或專家學

者等利害關係人如有資通安全相關回饋事項,應將列入管理審查會議之討論議題。

  • 實施:

本政策經「資通發展暨安全管理委員會」核定後實施,修訂時亦同。

圓滿四分之一世紀

花蓮慈濟醫院公傳室 認識慈院

一九八九年杜詩綿院長因肝腫瘤辭世,上人與全體慈濟人難捨悲痛。爾後,由烏腳病與高血壓研究專家曾文賓副院長接任第二任院長,帶領全院戮力發展,順利於一九九八年通過準醫學中心之評鑑。一九九九年七月,曾文賓院長交棒榮退升任榮譽院長,由年輕的骨科才俊陳英和副院長接任第三任院長。二○○二年慈院升格為東臺灣唯一的醫學中心,並最早通過ISO國際認證。

二度動土開工,悲心宏願共振

花蓮慈濟醫院公傳室 認識慈院

正當慈濟積極進行籌建事宜時,突然接到通知國福里院址變為佳山計畫軍用地。此訊如青天霹靂,上人自此不吃不睡,憂心如焚。之後,上人決定,如果醫院蓋不成,就要將已募得的款項,一筆一筆退給捐款者。

濟貧感知病苦,開始施醫施藥

花蓮慈濟醫院公傳室 認識慈院

一九七○年代,整個臺灣雖普遍清貧,但社會經濟開始起飛,老百姓只要肯打拚就有機會撐起一個家,然而,中央山脈隔阻的東臺灣,偏遠鄉間仍常見亟需濟助的貧苦人家。

醫院落成先義診,免除住院保證金

花蓮慈濟醫院公傳室 認識慈院

硬體建築即將完成之際,一九八五年元月,慈濟醫院第一次公開登報招考醫師,除了牙科有兩位醫師前來外,其他科無人報考。慈院籌建委員會委員,時任臺大醫院院長的楊思標教授,與時任臺大醫院副院長的杜詩綿教授都認為,唯有與臺大醫院建教合作,才 能確保開業初期的醫師來源。

我要掛號



來電
 
導航
 
掛號

繳費 

App