介紹(Introduction)

資訊室負責規劃、管理、維護全院資訊系統,健全電腦處理個人資料之安全防護措施,周全就醫民眾個人隠私資料,建立可信賴之資訊化醫療環境。資訊室致力建立「資訊安全管理系統(ISMS)」環境,並通過國際驗證機構認證,獲頒ISO27001:2013與CNS27001:2014合格證書。

 

本院資訊安全宣言

  • 行天宮醫療志業醫療財團法人恩主公醫院(以下簡稱本院)資訊安全工作之最終目的在於,透過對人員、作業及資訊科技之管理,確保本院醫療資訊處理作業能安全有效地運作,防範醫療資訊處理作業過程,發生影響醫療資訊機密性、完整性及可用性之安全事件,以保障社會大眾個人醫療資訊隱私權益為前提,整合基層醫療資訊系統之服務提供,進而建設醫療體系之全景。

 

人員安全管理

  • 本院進用人員之安全評估由人事課負責,如其工作職責須使用處理敏感性、機密性資訊的科技設施,或須處理機密性及敏感性資訊者,應經適當的安全評估程序,人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
  • 本院新進人員於報到時,需依照本院人事課規定填寫到職單,並簽署保密協定,且從業其間需定期簽署。保密協定涵蓋期間包括從業期間與離職後,均有保密之責任,任何因未遵守本資訊安全管理規範導致之資訊安全意外事件將嚴格懲處。
  • 本院各委外開發維護之廠商人員,必須簽署保密協定及切結遵守本資訊安全管理規範之規範。
  • 本院同仁離職或調任其他單位時,須依照人事室規定填寫離職單,並由資訊室停用該帳號後,始完成離職程序。
  • 網路使用者如因職務異動而成為非授權使用者時,相關單位應主動通知網路系統管理人員撤銷該使用者帳號。
  • 對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工有妥適分工,分散權責,並實施人員輪調,建立人力備援制度。
  • 各項正式作業之電腦系統操作及資料處理,由各權責單位指定專人負責建檔、核對、更新、審查及維護電腦資料之正確性。資訊系統發展人員非經核准不得操作使用或更改已正式作業之系統檔案與資料。
  • 各單位及各級業務主管人員應負責督導所屬員工之資通作業安全,防範不法及不當行為。

 

人員教育訓練

  • 員工必須瞭解單位之資訊安全政策。
  • 本院新進人員應施以適當的系統操作訓練,避免使用者不當之操作。
  • 新系統上線時,應對其作業人員、維護人員及網路管理人員施以適當的教育訓練。
  • 每年度應對院內同仁依員工職務層級進行適當的資訊安全講習,提升其危機意識與資訊安全觀念。課程中必須給予完整之軟體著作權與版權觀念,嚴禁非法使用軟體,而自由軟體(freeware)與共享軟體(shareware)之安裝使用亦必須詳細了解其版權宣告並遵守。
  • 每年度應針對院內資訊人員辦理資訊安全管理及危機處理防護課程訓練並不定期派員參與外界舉辦相關訓練、研討會、產品展示會。
  • 參與本院資訊系統開發維護之委外廠商人員,應避免開發之軟體帶有易受攻擊之程式碼。
  • 應隨時注意資通安全最新訊息,參與資通安全相關訓練,並利用內部網站公告同仁知悉。

 

資訊委外安全管理

  • 各單位辦理資訊業務委外作業,應於事前研提資通安全需求,明定廠商之資通安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
  • 各單位自行開發或委外發展系統,應在系統生命週期之初始階段,即將資通安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗(後)門及電腦病毒等危害系統安全。
  • 各單位對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。各單位基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
  • 各單位委託廠商建置及維護重要軟硬體設施時,應在單位相關人員監督及陪同下始得為之。

 

網路、通訊與操作管理

  • 各單位利用公眾網路傳送資訊或進行交易處理,應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求。
  • 資訊室需針對資料傳輸、撥接線路、無線網路、網路線路與設備、對外連接介面及路由器等事項,研擬妥適安全控管措施。
  • 各單位與外界網路連接之網點,必需透過院方防火牆或其他安全設施,控管外界與單位內部網路之資料傳輸及資源存取。
  • 院內使用者端電腦系統,如未經申請禁止對院外提供網路存取服務。
  • 各單位開放外界連線作業之資訊系統,必要時得視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入破壞、竄改、刪除及未經授權之存取。
  • 各單位開放外界連線作業之資訊系統,必要時得以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料厙存取資料。
  • 各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。單位網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭違法或不當之竊取使用。
  • 建置電子郵件伺服器應訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其它電子方式傳送。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,應視需要以適當之加密或電子簽章等安全技術處理。若單位業務性質特殊,須利用電子郵件或其它電子方式傳送機密資料及文件者,得採用資訊部門權責主管認可之加密或電子簽章等安全技術處理。
  • 各單位採購資訊軟硬體設施,應依國家標準或資訊部門訂定之資通安全規範,研提資通安全需求,並列入採購規格。
  • 為使本院資訊網路正常維運,降低資訊安全事件影響,授權資訊室依實際安全需求,動態調整網路運作設定。
  • 本院網路使用者均應遵守及履行下列事項:
  1. 網路之使用必須符合本院醫療、教學與研究之任務。
  2. 因業務需要,需使用本院網路服務者,應向資訊室申請使用帳號及註冊其電腦終端設備之放置地點、網路卡位址與主機名稱。
  3. 使用者如因職務異動、調職或離職,須向資訊室辦理使用帳號之異動或註銷;使用者之服務單位應協助並督促使用者確實辦妥上述事項。
  4. 申請有線或無線網路使用者,須填具申請單並安裝防毒軟體、更新病毒碼且完成作業系統修補檢測,經資訊室審核通過後始可連接。
  5. 網路上所可存取到之任何資源,皆屬其資料權責單位或個人所有,除非已正式開放或已獲授權,否則禁止使用。
  6. 非經院方授權,禁止擅自連接院內及院外(含台灣學術網路)網路節點私接網路交換器(Switch)、網路集線器(Hub)、無線網路基地台(AP)、電腦(PC及SERVER)及其他各項可連網設備。如因業務需要,經獲准直接與院外機構連線者,申請單位應負責其安全維護管理事宜。
  7. 非經院方核可,不得利用院內網路或個人電腦架設網站。
  8. 非經同意,不得擅用其他單位之電腦(包括有線與無線)。
  9. 使用者儲存於個人電腦系統內之資料,應自行備份重要資料於網路或其他儲存媒體。
  10. 非本院員工不得使用本院網路資源,但因軟硬體設備維修或其他特殊需要,經院方同意者,不在此限。
  11. 各單位內部自建獨立網路及伺服器者,由該單位自行指派專人依本要點負責管理維護,並由本院資訊室系統人員負責稽核。
  12. 為確保資訊安全,各單位新購入之電腦及網路設備,均需建置符合本院資通安全管理所需之功能。
  • 如違反本規範者將強制參加資訊安全教育訓練講習課程。如屬惡意或情節重大者,由資訊室提報院方議處。

服務內容(Service items)

系統組服務內容:

1  系統軟、硬體規劃
1.1 擬定電腦系統軟、硬體設備短、中程計劃需求。

     1.2 電腦主機系統軟、硬體容量之評估、規劃與建置。

     1.3 新設週邊設備地點之選定及硬體設備之安裝測試。

網路管理
2.1 院內院外網路連線之規劃、評估與介面選定。

     2.2 網路系統連線程式之測試與維護。

     2.3 網路上資料安全管理與保密設定。

機房作業
3.1 電腦機房安全管理辦法訂定與管制。

     3.2 電腦電源及空調設備規劃與管制。

     3.3 電腦主機操作與批次工作排定。

     3.4 電腦備份資料之儲存與安全管理。

     3.5 資料庫管理。

     3.6 使用者帳號及密碼管理。

故障處理與維修
4.1 電腦軟、硬體設備偵防、除錯與中斷處理。

     4.2 電腦主機、網路及終端設備檢修、叫修及故障彙報。

   應用組服務內容:

1  應用作業規劃
1.1 應用資訊系統架構評估與規劃建議。

     1.2 負責本院應用作業短、中程計劃需求提報。。

     1.3 新電腦化作業導入之可行性評估與分析。

     1.4 電腦化作業處理優先順序之排定。

     1.5 責任中心電腦化作業配合相關單位規劃與執行。

作業開發
2.1 電腦化作業之功能評估、分析、設計、上線與維護。

     2.2 套裝軟體工具功能之評估、測試及引用。

     2.3 負責應用作業系統各階段協調與訪談。

     2.4 跨系統整合與資料交換程式之評估與選用。

電腦化作業管理
3.1 作業及使用者、代碼規劃管理。

     3.2 各項資訊系統制度標準之制定、管理、輔助與評估。

     3.3 應用系統文件編撰與變更。

     3.4 提供電腦統計分析資訊供決策參考與醫學研究。

     3.5 電腦作業稽核及滿意度調查。

     3.6 資料庫管理。 

工作團隊(Team Members)

資訊課編制課長一名,組長二名,組員十四名。各組編制人員如:門診組二名、住院組二名、系統組三名、醫檢組二名、行政組二名、網路組二名、電子病歷組二名。

 

  • 系統組:管理與維護本院資訊主機機房之伺服器及其周邊硬體等設備、維護全院網路環境、管理全院電腦軟硬體環境,以及其周邊設備與印表機。
  • 門診組:專責規劃、管理與維護及分析本院門診相關之醫療資訊系統(HIS)程式作業。
  • 住院組:專責規劃、管理與維護及分析本院住院相關之醫療資訊系統(HIS)程式作業。
  • 醫檢組:專責規劃、管理與維護相關放射、檢驗單位及藥局之醫療資訊系統(HIS)程式作業。
  • 行政組:專責規劃、管理與維護全院人事、行政系統之醫療資訊系統(HIS)程式作業。
  • 網路組:專責規劃、管理與維護本院網站、電子表單、中醫門診系統、醫療影像儲傳系統(PACS)程式作業。
  • 電子病歷組:專責規劃、管理與維護本院電子病歷(EMR)系統,與配合主管機關推動全院病歷電子化之作業。

最後更新日期:民國105年03月15日