臺北榮民總醫院新竹分院
*:::字級設定: 小 中 大
*網站地圖*回首頁*English*RSS*常見問答*意見信箱*雙語詞彙*分類檢索  

新聞中心

認識本院

就醫指引

醫療團隊

科室介紹

衛生保健

便民服務

連結:網路掛號(另開新視窗) 連結:門診時刻表 連結:看診進度查詢(另開新視窗)
(進階)
*
  :::首頁宣告
  *

網站地圖

*
  *

隱私權政策

*
  *

網站安全政策

*
  *

資訊安全政策

*
  *

資訊安全宣言

*
  *

無障礙宣告

*
  *

網站維運資訊

*
  *

雙語詞彙

*
  *

RSS訂閱

*


*:::
*

* 目前位置:首頁 > 首頁宣告 > 資訊安全政策 * 回上一頁
*
*資訊安全政策
*
更新日期: 2018-03-14
*


*

目的

確保臺北榮民總醫院新竹分院(以下簡稱本院)資訊系統服務正常且安全穩定的運作,規範本院資訊室與資訊機房之資訊安全管理制度最高指導方針,以建立安全、可信賴之資訊系統服務,並確保資訊室與資訊機房之資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,進而保障資訊系統服務使用者之權益。  


* 範圍:

2.1 基於本院以保護資訊資產機密性、完整性、可用性為目標,且資訊機房為本院資訊系統服務之重要基礎架構,故將資訊室與資訊機房優先納入資訊安全管理範圍,展現負責之經營管理理念,期日後將資訊安全管理制度拓展至其他範圍。
2.2 為避免因人為疏失、蓄意或天然災害等因素,導致資訊資產不當使用、洩漏、竄改、破壞等情事發生,對本院帶來可能之風險及危害。資訊室與資訊機房之資訊安全管理事項如下:
  2.2.1 資訊安全政策。
  2.2.2 資訊安全組織。
  2.2.3 資訊資產管理。
  2.2.4 人力資源安全管理。
  2.2.5 實體與環境安全管理。
  2.2.6 通訊與作業管理。
  2.2.7 存取控制管理。
  2.2.8 資訊系統獲取、開發及維護管理。
  2.2.9 資訊安全事故管理。
  2.2.10 業務持續管理。
  2.2.11 遵循性管理。


* 權責:

3.1 資訊發展暨安全管理委員會
本院資訊發展暨安全管理階層決策組織。
3.2 資訊安全推動組
本院資訊室與資訊機房資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊發展暨安全管理委員會提報。
3.3 資訊室同仁、資訊系統服務使用者、委外人員
  3.3.1 配合資訊安全管理制度活動。
  3.3.2 遵守相關資訊安全管理制度規範。


* 定義:

4.1 資訊安全
保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
4.2 資訊資產
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務與建築與保護類設施等皆屬之。


* 作業內容:

5.1 原則
  5.1.1 應考量相關法律規章及營運要求,進行資訊資產之資訊風險評估,確定資訊作業安全需求,建立作業標準程序,採取適當資訊安全措施,確保資訊資產安全。
  5.1.2

依人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。

  5.1.3

資訊資產存取權限之賦予,應業務需求並考量最小權限、權責區隔及獨立性審查。

  5.1.4

建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理,並訂定業務持續計畫並定期演練,以確保資訊系統或服務持續運作。

  5.1.5

依據個人資料保護法與智慧財產法之相關規定,審慎處理及保護個人資訊與智慧財產權。

  5.1.6

定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。

  5.1.7

違反本政策與資訊安全相關規範,依相關法規或本院人事規定辦理。

  5.1.8

為確保本院同仁皆知悉本院資訊安全要求,另訂定「ISMS-002-01資訊安全宣言」(詳附件一)告知本院同仁遵悉。

5.2 目標
  5.2.1

維持資訊室與資訊機房業務持續運作。

  5.2.2

保護資訊室與資訊機房資訊資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。

  5.2.3

建立資訊室與資訊機房之標準作業程序,避免人為作業疏失及意外,加強同仁資訊安全意識。

  5.2.4

確保達成營運量測指標

    5.2.4.1 服務可用率:99.7%(每半年)
計算方式依據服務中斷之時間,計算服務中斷時間累計之實際值(資料來源:資訊安全事故報告單),以總分鐘數減去此實際發生服務中斷之時間再除以總分鐘數即可得出之服務可用率,若大於或等於目標績效值,則達成績效指標。
    5.2.4.2

資訊系統服務議題結案完成率:95%(每半年)

      5.2.4.2.1

資料申請作業於使用者規定時間內處理完畢結案之比率(資料來源:資料申請單),若大於或等於目標績效值,即達成績效指標。

      5.2.4.2.2

資訊系統設備維修作業於4小時內處理完畢結案(含先以備品替用)之比率(資料來源:資訊系統設備服務需求申請單),若大於或等於目標績效值,即達成績效指標。

      5.2.4.2.3

使用者資訊作業異常事件處理於4小時內處理完畢結案之比率(資料來源:資訊系統設備服務需求申請單),若大於或等於目標績效值,即達成績效指標。

    5.2.4.3

設備運轉使用良率:95%(每半年)
資訊機房線上資訊設備總數減去設備硬體障礙次數累計值(資料來源:資訊機房設備資訊表和資訊機房設備檢查紀錄表),再除以線上資訊設備總數所得之比率,若大於或等於目標績效值,即達成績效指標得分。

  5.2.5

確保達成資訊安全管理量測指標

    5.2.5.1

資訊安全事故4級每年不得超過1件。

    5.2.5.2

資訊安全事故3級每年不得超過3件。

    5.2.5.3

資訊安全事故2級每年不得超過5件。

    5.2.5.4

資訊安全事故1級每年不得超過9件。

  5.2.6

資訊安全機密性量測指標

    5.2.6.1

每半年進行資訊機房例行性作業查核,違反作業規範不得超過3件。

    5.2.6.2

每半年進行資訊存取管制檢驗,違反資訊處置作業規範不得超過3件。

  5.2.7 資訊安全完整性量測指標
每半年進行資訊安全相關紀錄、報告、查詢資料或備份資料之檢驗,資料錯誤或是短缺不得超過3件。
  5.2.8 資訊安全符合法規量測指標
每半年進行管理制度作業檢驗,因嚴重違反本院管理規章、相關法規、個資法不得發生。
5.2 審查
  5.3.1 本政策應至少每年評估一次,以反映相關法令、技術及資訊室業務等最新發展現況,並予以適當修訂。
  5.3.2

本政策經資訊發展暨安全管理委員會核准,於公告日施行,並以書面、電子或其他方式通知經資訊室所有員工及提供資訊室資訊服務之廠商,修正亦同。


* 相關資料:

6.1

【ISMS-001資訊安全管理作業流程及程序】。

6.2

【ISMS-003資訊安全組織管理作業流程及程序】。


* 附件:

7.1

附件一、ISMS-002-01資訊安全宣言






 
**
*

到最上面

*