目的
為了要降低人為錯誤、竊取、欺騙、及濫用相關設施的風險,來確保使用者意識到資訊安全的威脅;為了確保在正常工作程序中資訊的安全與降低安全意外事件的損害並從其中習得相關經驗。
壹、人員安全管理
一、本院進用人員之安全評估由人事室負責,如其工作職責須使用處理敏感性、機密性資訊的科技設施,或須處理機密性及敏感性資訊者,應經適當的安全評估程序,人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
二、本院新進人員於報到時,需依照本院人事室規定填寫到職單,並簽署保密協定,且從業其間需定期簽署。保密協定涵蓋期間包括從業期間與離職後,均有保密之責任,任何因未遵守本資訊安全管理規範導致之資訊安全意外事件將嚴格懲處。
三、本院各委外開發維護之廠商人員,必須簽署保密協定及切結遵守本資訊安全管理規範之規範。
四、本院同仁離職或調任其他單位時,須依照人事室規定填寫離職單,並由資訊室停用該帳號後,始完成離職程序。
五、網路使用者如因職務異動而成為非授權使用者時,相關單位應主動通知網路系統管理人員撤銷該使用者帳號。
六、對於可存取機密性、敏感性資訊或系統之員工以及配賦系統存取特別權限之員工有妥適分工,分散權責,並實施人員輪調,建立人力備援制度。
七、各項正式作業之電腦系統操作及資料處理,由各權責單位指定專人負責建檔、核對、更新、審查及維護電腦資料之正確性。資訊系統發展人員非經核准不得操作使用或更改已正式作業之系統檔案與資料。
八、各單位及各級業務主管人員應負責督導所屬員工之資通作業安全,防範不法及不當行為。
貳、人員教育訓練
一、員工必須瞭解單位之資訊安全政策。
二、本院新進人員應施以適當的系統操作訓練,避免使用者不當之操作。
三、新系統上線時,應對其作業人員、維護人員及網路管理人員施以適當的教育訓練。
四、每年度應對院內同仁依員工職務層級進行適當的資訊安全講習,提升其危機意識與資訊安全觀念。課程中必須給予完整之軟體著作權與版權觀念,嚴禁非法使用軟體,而自由軟體(freeware)與共享軟體(shareware)之安裝使用亦必須詳細了解其版權宣告並遵守。
五、每年度應針對院內資訊人員辦理資訊安全管理及危機處理防護課程訓練並不定期派員參與外界舉辦相關訓練、研討會、產品展示會。
六、參與本院資訊系統開發維護之委外廠商人員,應避免開發之軟體帶有易受攻擊之程式碼。
七、應隨時注意資通安全最新訊息,參與資通安全相關訓練,並利用內部網站公告同仁知悉。
參、資訊委外安全管理
一、各單位辦理資訊業務委外作業,應於事前研提資通安全需求,明定廠商之資通安全責任及保密規定,並列入契約,要求廠商遵守並定期考核。
二、各單位自行開發或委外發展系統,應在系統生命週期之初始階段,即將資通安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗(後)門及電腦病毒等危害系統安全。
三、各單位對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,並嚴禁核發長期性之系統辨識碼及通行密碼。各單位基於實際作業需要,得核發短期性及臨時性之系統辨識及通行密碼供廠商使用。但使用完畢後應立即取消其使用權限。
四、各單位委託廠商建置及維護重要軟硬體設施時,應在單位相關人員監督及陪同下始得為之。
肆、網路、通訊與操作管理
一、各單位利用公眾網路傳送資訊或進行交易處理,應遵守「高雄醫學大學附設中和紀念醫院網路使用安全切結書」之相關規範;應評估可能之安全風險,確定資料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求。
二、資訊室需針對資料傳輸、撥接線路、無線網路、網路線路與設備、對外連接介面及路由器等事項,研擬妥適安全控管措施。
三、各單位與外界網路連接之網點,必需透過院方防火牆或其他安全設施,控管外界與單位內部網路之資料傳輸及資源存取。
四、院內使用者端電腦系統,如未經申請禁止對院外提供網路存取服務。
五、各單位開放外界連線作業之資訊系統,必要時得視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入破壞、竄改、刪除及未經授權之存取。
六、各單位開放外界連線作業之資訊系統,必要時得以代理伺服器等方式提供外界存取資料,避免外界直接進入資訊系統或資料厙存取資料。
七、各單位利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。單位網站存有個人資料及檔案者,應加強安全保護措施,防止個人隱私資料遭違法或不當之竊取使用。
八、建置電子郵件伺服器應訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其它電子方式傳送。機密性資料以外之敏感性資料及文件,如有電子傳送之需要,應視需要以適當之加密或電子簽章等安全技術處理。若單位業務性質特殊,須利用電子郵件或其它電子方式傳送機密資料及文件者,得採用資訊部門權責主管認可之加密或電子簽章等安全技術處理。
九、各單位採購資訊軟硬體設施,應依國家標準或資訊部門訂定之資通安全規範,研提資通安全需求,並列入採購規格。
十、為使本院資訊網路正常維運,降低資訊安全事件影響,授權資訊室依實際安全需求,動態調整網路運作設定。
十一、本院網路使用者均應遵守及履行下列事項:
1.網路之使用必須符合本院醫療、教學與研究之任務。
2.因業務需要,需使用本院網路服務者,應向資訊室申請使用帳號及註冊其電腦終端設備之放置地點、網路卡位址與主機名稱。
3.使用者如因職務異動、調職或離職,須向資訊室辦理使用帳號之異動或註銷;使用者之服務單位應協助並督促使用者確實辦妥上述事項。
4.申請有線或無線網路使用者,須填具申請單並安裝防毒軟體、更新病毒碼且完成作業系統修補檢測,經資訊室審核通過後始可連接。
5.網路上所可存取到之任何資源,皆屬其資料權責單位或個人所有,除非已正式開放或已獲授權,否則禁止使用。
6.非經院方授權,禁止擅自連接院內及院外(含台灣學術網路)網路節點私接網路交換器(Switch)、網路集線器(Hub)、無線網路基地台(AP)、電腦(PC及SERVER)及其他各項可連網設備。如因業務需要,經獲准直接與院外機構連線者,申請單位應負責其安全維護管理事宜。
7.非經院方核可,不得利用院內網路或個人電腦架設網站。
8.非經同意,不得擅用其他單位之電腦(包括有線與無線)。
9.使用者儲存於個人電腦系統內之資料,應自行備份重要資料於網路或其他儲存媒體。
10.非本院員工不得使用本院網路資源,但因軟硬體設備維修或其他特殊需要,經院方同意者,不在此限。
11.各單位內部自建獨立網路及伺服器者,由該單位自行指派專人依本要點負責管理維護,並由本院資訊室系統人員負責稽核。
12.為確保資訊安全,各單位新購入之電腦及網路設備,均需建置符合本院資通安全管理所需之功能。
伍、如違反本規範者將強制參加資訊安全教育訓練講習課程。如屬惡意或情節重大者,由資訊室提報院方議處。