中荣Biobank资讯安全规定v1.4.doc-台中荣民总医院.doc

臺中榮民總醫院人體生物資料庫 資訊安全規定 壹、目的 爲推動臺中榮民總醫院 (以下簡稱本院) 人體生物資料庫作業，符合相關法規，使本院人體生物資料庫作業有所遵循，特訂定本規定，以確保人體生物資料庫資料符合機密性、完整性及可用性之要求。 貳、依據 「人體生物資料庫管理條例」、「人體生物資料庫資訊安全規範」、「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」及本院資訊安全相關規定。 参、適用範圍 本規定適用於本院已向主管機關申請，依法設置之人體生物資料庫之相關營運作業。 肆、資訊管理單位組織、權責及分工 人體生物資料庫設有資訊管理小組，其權責依分工說明如下： (一) 資訊主管：由資訊室主任擔任，資訊室業管資訊安全業務組長協助，負責資訊安全管理事項之協調及推動。 (二) 資料 (及資訊) 管理人員：由人體生物資料庫管理單位選派適當人員兼任，負責資料與資訊之管理。 (三) 資訊系統維運人員：由資訊室選派系統管理人員兼任，負責系統軟硬體建置、系統運作平台之建置及維運。 (四) 以上各類人員不得互為兼任。 本院設有「資通安全會報」，召集人由本院行政副院長兼任，委員由醫療及行政一級單位主管組成。負責本院資訊安全管理事項之協調及推動，並辦理資訊安全政策、規劃、執行等審議、督導事項。 人體生物資料庫資料 (及資訊) 管理人員與研究人員不得互為兼任。 伍、人員管理及資訊安全訓練 人員管理： (一) 參與人體生物資料庫相關人員應依據公務人員任用法（含施行細則）、派用條例（含施行細則）、醫事人員人事條例（含施行細則）、聘用條例（含施行細則、聘用注意事項）、約僱人員僱用辦法、勞動基準法（含施行細則）、台中榮民總醫院運用醫療作業基金進用醫務人員作業要點、替代役實施條例、特約顧問管理辦法、外包管理規定、工友管理要點等相關法規及本院相關作業規定進用管理。 (二) 人體生物資料庫資訊主管、資料 (及資訊) 管理人員、資訊系統維運人員等相關人員，均應填具保密切結書。 資訊安全教育訓練：人體生物資料庫資訊主管、資料 (及資訊) 管理人員、資訊系統維運人員等相關人員每年應接受至少 3 小時 (含) 以上資訊安全相關教育訓練課程時數。 參與人體生物資料庫相關人員離（退）職時，應立即取消人體生物資料庫之所有權限。 陸、電腦系統安全管理 人體生物資料庫系統主機應安裝防毒軟體並即時更新病毒碼，定期進行系統病毒掃描作業。 人體生物資料庫系統主機應定期進行系統弱點檢測，並執行各項系統漏洞修補作業。 人體生物資料庫系統所屬設備、資訊、或軟體，未經資訊室主管或人體生物資料庫管理單位主管授權，禁止移動。 人體生物資料庫系統資料應定期進行備份，以防止資料滅失。 柒、網路安全管理 人體生物資料庫有關資訊，非經本院人體生物資料庫倫理委員會認可之技術加以處理，不得以電子郵件或其他電子方式對外傳送。經人體生物資料庫倫理委員會認定有特別保密必要之機密文件，不得以電子方式傳輸。 收案後所建置之人體生物資料庫之個人資料，應以實體隔離之方式建構及使用，其資訊系統不得與網際網路連接。 人體生物資料庫除個人資料以外之資料，若因業務需要需與院外單位進行資料交換時，應簽訂合作協議書，規範單位間交換資訊安全之保護措施。 人體生物資料庫各類資訊對外公告前應提交人體生物資料庫倫理委員會審查通過，並簽呈院部長官核示後公告，以避免未授權之篡改。 人體生物資料庫禁止開放遠端維護。 本院電腦網路分隔為：內部網段 (INTRANET)、隔離區 (DMZ)、及外部網段(INTERNET)，各網路區段間應以防火牆區隔，本院以外之任何外界均不得直接存取本院內部網段。 使用網路診斷埠之前應填具本院「Firewall防火牆申請單」，註明申請時間及使用網路診斷埠範圍，經資訊室主任核准後，依申請時間及使用網路診斷埠範圍進行作業。 由隔離區 (DMZ) 對內部網段之存取，應以單點對單點方式連結，並在特定通訊協定方式下進行存取連線。 外部網段或任何外界對本院隔離區 (DMZ) 之連結，需明確限定允許之通訊協定。 捌、資訊系統存取控制管理 人體生物資料庫應訂定系統存取政策及授權規定，經倫理委員會審查通過後，以書面、電子或其他方式告知員工及使用者相關之權限及責任。 系統存取權限，以執行其職務所必要者為限；對系統管理最高權限之人員及掌理重要技術及作業控制之特定人員，應經審慎之授權，並定期查核其權限及活動日誌，前項最高權限人員，至少應有二人。 人體生物資料庫須建立使用者註冊管理制度，設定帳號密碼登入管制措施，以避免未經授權人員存取。實體隔離室資料庫進行資料存取時，應有兩人在場。 人體生物資料庫密碼設定應避免以下情形：長度太短 (未超過六個字元)、全部為字母或全部為數字、與個人有