版本V2.0 更新於2024年03月01日
- 目的
確保衛生福利部衛生福利資料科學中心慈濟大學研究分中心(以下簡稱本中心)資訊資料之安全性,設備服務正常且安全穩定的運作,規範本中心之資訊安全管理制度最高指導方針,以建立安全、可信賴之資訊安全管理體系,並確保本中心之資訊資產之機密性、完整性、可用性及符合相關法規之要求,維持業務持續運作,降低資訊作業風險,進而保障使用者之權益。
- 適用範圍
為提供本中心衛生福利資料統計應用服務之安全性,依據本中心組織與全景、關注方之需求與期望,將本中心、資訊機房、網路及衛生福利資料應用作業定為本中心資訊安全管理範圍權責。
- 定義
一、 資訊安全
係避免因人為或自然災害等風險,運用系統化之控制措施,以確保資訊安全管理制度範圍內之資訊資產受到妥善保護。
二、 資訊資產
凡本中心、資訊機房,如文件、人員、軟體、硬體、服務與建築等皆屬之。
- 作業內容
一、 權責
(一)、 資訊安全管理組為本中心資訊發展暨安全管理階層決策組織。
(二)、 資訊安全工作小組主要進行資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理組提報。
(三)、 本中心所有同仁皆應共同遵守本資訊安全政策。
(四)、 使用者及提供本中心資訊服務之廠商皆應共同遵守本資訊安全政策。
二、 目標
(一)、 維持本中心營運服務持續順暢正常運作。
(二)、 保護本中心資訊資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為,以保障個人資料等資訊資產之機密性、完整性、可用性。
(三)、 建立本中心業務服務之標準作業程序,避免人為作業疏失及意外,同時加強同仁資訊安全意識。
(四)、 辦理本中心資訊安全目標之規劃、量測、審查及改善,以因應不同資訊安全之要求與期望,力求達成資訊安全管理之目標。
三、 內容
(一)、 應考量相關法律規章及營運要求,進行資訊資產之風險評估與威脅情資蒐集分享,確定資訊作業安全需求,採取適當資訊安全措施,確保資訊資產安全。
(二)、 依角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導。
(三)、 定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實。
(四)、 資訊資產存取權限之賦予,應業務需求並考量最小權限與權責區隔。
(五)、 違反本政策與資訊安全相關規範,依相關法規或人事規定辦理。
(六)、 建立資訊安全事故通報及應變程序,以確保本中心、資訊機房持續運作。
(七)、 訂定營運持續計畫並定期演練,以確保本中心、資訊機房於重大資安事故發生時,能妥善回應。
(八)、 依據個人資料保護法及個人資料保護法施行細則、資通安全管理法及資通安全管理法施行細則、政府資訊公開法、著作權法之相關規定,審慎處理及保護個人資訊與智慧財產權。
(九)、 為確保本中心同仁及相關關注方皆知悉本中心資訊安全要求,應於本中心網站公告此政策。
四、 修訂與公告
本政策由資訊安全管理組每年定期審議,另組織、業務、法令或實體環境等因素之變迭時,予以適當修訂,視需要召開臨時會議審議。本政策經資訊安全管理組核定後公布施行,修正時亦同。