奇美醫療體系資通安全政策

壹、目的

奇美醫療財團法人奇美醫院、奇美醫療財團法人柳營奇美醫院、奇美醫療財團法人佳里奇美醫院、台南科學工業園區聯合診所（以下簡稱本院）為強化資通安全管理，建立安全及可信賴之資通環境，確保資料、系統、設備及網路安全，保障就醫民眾權益，特訂定本政策。

貳、適用範圍

• 奇美醫療財團法人奇美醫院全院資通安全管理。
• 奇美醫療財團法人柳營奇美醫院、奇美醫療財團法人佳里奇美醫院、台南科學工業園區聯合診所醫療資訊系統、醫療影像管理系統、電子病歷系統、健保醫療資訊雲端查詢系統批次下載資訊安全作業主機、資訊機房維護與管理。

參、責任劃分

• 本院成立資通安全推動委員會，由行政副院長擔任主任委員、資通安全長，資訊室主任擔任副主任委員、資通安全管理代表。
• 為有效推動資通安全相關工作，資通安全推動委員會得委請學者專家或民間專業組織及團體，提供顧問諮詢服務，並加入衛生福利部資安資訊分享與分析中心(H-ISAC)，並適時進行情資分享，提升其資通安全維護能量，調整資通安全應變機制，預防相關資通安全威脅之發生。
• 資通安全推動委員會應定期舉行資通安全管理審查會議，確認資通安全維護計畫之實施情形，確保其持續適切性、合宜性及有效性。
• 本院人員、合作機關、委外廠商與本院連線作業有關單位應遵守本政策及本院資通安全管理各項文件規定。
• 人員違反資通安全規定者，或行使其他任何危及本院資通安全之行為，都將訴諸適當之懲罰程序或法律行動。
• 資通安全推動委員會應透過院內網頁，公告資通安全管理適用法規，並依據法規要求，調整相關規定。

肆、資通安全推動管理

• 資通安全推動委員會建立、實作、維持及持續改進資通安全管理，並鑑別影響本院資通安全管理利害關係人，以及其對資通安全要求。
• 透過「適用性聲明書」，鑑別 ISO 27001 驗證範圍邊界與適用性。
• 配合資通安全管理推動，適當修改本政策內容，以確保以下事項：
1. 建立資通安全目標或提供建置資通安全目標的框架。
2. 滿足資通安全相關要求的承諾。
3. 實現本院持續改進 ISO 27001 的承諾。
• 本院每年應確定並提供建立、實作、維持和持續改進資通安全管理所需的資源。
• 本院透過資通安全教育訓練、網站公告等方式，向利害關係人宣導資通安全政策及目標。

伍、風險評估與管理

• 資訊資產應依據「資訊資產管理程序書」之規定，建立分類與管理機制，並依據「資訊資產資通安全風險管理程序書」，針對資訊資產進行風險評估與管理工作。
• 依據「醫療儀器系統風險分級評估準則」與「工業控制系統風險管理程序書」，針對醫療儀器與其他支援設施資產進行風險評估與管理工作，以有效掌控本院之資通安全風險。

陸、文件維護權責

本政策應每年定期於資通安全推動委員會管理審查會議或依本院組織、業務和環境等變動因素之適當性予以修訂，經行政副院長核准後公布實施，修正時亦同

---