資訊安全規範
一、新進人員於報到時,需依照規定填寫到職單,並簽署「EMR-02-18人員資料及服務系統服務使用保密切結書」。保密切結書涵蓋期間包括從業期間與離
職後,均有保密之責任,任何因未遵守本管理規範,導致資料安全意外事件,將依相關規定懲處。
二、委外服務之廠商人員,必須簽署「EMR-02-18-01合約商保密切結書」或各廠商提供之保密條款證明,並遵守本管理規範。
三、各單位員工離職或調任其他單位時,須依照規定填寫「員工離職申請單」或「單位異動申請單」,辦理員工訓練計劃作業作及資產移交,確認簽章及工
作項目完成,由行政組長停用所有相關帳號密碼,事後由行政組長進行工作完成確認及安全複核, 完成離職或調任其他單位程序。附件(一)帳號停用。
四、新進人員應由相關單位之主管施以「新進人員職前訓練計劃作 業」,避免使用者不當之操作。
五、每年度由行政組對人員施以兩小時以上資訊系統操作、資訊安全相關宣導、訓練或講習,以提昇其資訊安全觀念。
如附件(二) 員工資訊安全教育訓練實施計畫。
貳、存取控制管理
一、使用者存取
(一) 電子病歷系統使用者應視業務需求填寫「EMR-04-02電子病歷使用權限申請/異動單」,經由單位主管核可,依照「EMR-04-01電子病歷使用者權限」規範申請適當角色或權限。
(二) 病歷室人員每三個月需列出「EMR-04-04電子病歷系統使用者帳號清單」,並由稽查人員審核帳號權限及密碼更換是否符合管理規範,如發現異常,應通知行政組長,立即停止帳號權限,調查異常原因。
(三)資訊人員應管制伺服器主機系統管理人員帳號,每半年定期審查並填寫「EMR-04-03系統管理者帳號審查表」,如有發現異常需註銷不適切之權限。
(四) 系統通行碼設定時,其長度應為英數混合6碼(含6碼)以上,至少每三個月更換一次。
(五) 避免共用帳號,如需使用共用帳號,須經權責主管同意。
(六) 使用者之通行碼應妥善保管以避免他人知悉。
(七) 使用者離開電腦設備時,應退出使用環境或電腦螢幕鎖定,以確保資料之安全。若超過十分鐘未使用電腦,需設定螢幕通行碼保護。
二、作業系統存取控制
(一) 使用者帳號應具有唯一性,並應避免共用帳號。
(二) 刪除多餘不用之帳號與群組。
(三) 伺服器主機遠端登入錯誤六次會強制跳出,系統登入錯誤三次會強制跳出。(附件四)
(四) 移除所有非必要之資源分享與網路服務。
(五) 未經授權核可,禁止以設備及媒體執行網路偵測、弱點掃描、封包收集分析等高危險性軟體。
(六) 資訊人員每半年稽核伺服器主機作業系統是否定期新安全漏洞,並填寫「EMR-02-05主機系統安全查核表」。
三、應用系統存取控制
(一)因業務需求提出應用系統發展需求,或於系統維護過程產生之系統功能增修需求,應填寫院內「EMR-02-06資訊系統工作委託單」。
(二)經單位主管評估新增修改的內容,如有連動到相關單位,需與相關業務單位討論。
(三)單位主管同意後簽名,交由資訊組與系統委外廠商連繫,上網填寫需求申請。
(四)廠商修改異動的內容需記錄於該筆需求單內之「後續處理記錄」內。
(五)應用系統修改完成或是未完成,都需與提出業務單位進行回覆與驗收。
(六)驗收結果需記錄於「EMR-02-06資訊系統工作委託單」內之「結案記錄」。
(七) 委外廠商如需進行遠端連線存取控制,需依照「EMR-02-07 EMR-02-07-01廠商遠端連線申請流程」辦理。附件(五)
三、網路使用者安全管理
(一) 禁止以任何儀器設備或軟體工具竊聽網路上的通訊。
(二) 不得以任何手段蓄意干擾或妨害網路系統的正常運作。
(三) 禁止濫用網路系統,若影響網路正常運作者,得暫停其使用權利。
四、網路入侵偵測/防禦安全管理
(一) 應於院內電腦主機及重要伺服器安裝防毒軟體,設定自動偵測入侵與防禦。
(二) 如發現疑似網路入侵情形,應填寫「EMR-02-11矯正與預防處理單」辦理,並於規定期限內完成。
五、網路服務申請及規範
(一) 為確保資訊傳輸的安全,禁止使用未經授權之網路設備,若有違反規定之行為,則依本院相關規定進行懲處。
(二) 院外人員使用院內網路(含無線網路)之申請,應填寫「EMR-02-06資訊系統工作委託單」,由相關單位代為申請,使用完畢後停用帳號。
(三) 網路區隔
1、應將對外網際網路連線服務予以適當存取控制,防止機密資料外洩。
2、禁止本院同仁私有網路設備與本院內部網路界接