应用系统存取控制-新高凤医院.PPTVIP

新高鳳醫院資訊安全政策宣導 104年09月03日 目的 為建立本院電腦系統資料、人員安全、資訊資產、資訊安全環境、減災措施、網路安全、使用者存取權限、機房管理等各項安全管理機制，為避免各單位系統資料被竊取、竄改、毀損、滅失或洩漏等風險，特訂定本規範。 範圍 人員：本院所屬員工及資訊業務委外服務之廠商人員等。 範圍：本院資訊機房及各項資訊資產。 主任委員 院長 資安執行代表 資訊專員 資安管理代表 行政專員 資安稽核代表 資訊室主任 推動委員 醫療組、行政組 護理組、藥事組 病歷室、資訊組 資訊組 資訊安全組織架構 人員安全管理與訓練 新進人員於報到時，需依照規定填寫到職單，並簽署「人員資料及資訊系統保密切結書」。保密切結書涵蓋期間包括從業期間與離職後，均有保密之責任，任何因未遵守本管理規範，導致資料安全意外事件，將依相關規定懲處。 委外服務之廠商人員，必須簽署「合約商保密切結書」，遵守本管理規範。 新進人員應由相關單位施以適當的系統操作及資通安全相關注意事項，避免使用用者不當之操作。 各單位員工離職或調任其他機關時，須依照規定填寫離職單，辦理工作及資產移交，確認簽章及工作項目完成，由人事人員刪除或停用所有相關帳號密碼，事後由稽核專員進行工作完成確認及安全複核，完成離職程序。 每年度由資訊安全委員會人員對院內同仁施以兩小時以上資訊系統操作、資訊安全相關宣導、訓練或講習，以提昇其資訊安全觀念。 資訊機房管理 除負責機房業務有關人員外，其他未經許可人員，禁止進入機房。非經院方允許之物品（如筆記型電腦、隨身碟、燒錄器等儲存媒體及易燃物酒精等管制性物品或人員）不得放行進入。 廠商人員因業務需要，須進入機房作業，應由業務相關負責人許可後陪同廠商人員進入機房，並且填寫「機房人員進出紀錄表」。 機房管理人員每日進入機房例行檢查，需填寫「機房檢查表」，如非每日例行維護，機房管理人員仍需填寫「機房人員進出紀錄表」，載明進出理由。 委外維護之系統、消防、UPS、機電等維護廠商，應定期檢測各項系統設備是否可正常運作，並留有檢測維護紀錄。 存取控制管理 避免共用帳號，如需使用共用帳號，須經權責主管同意。 通行碼設定時，其長度應為6碼（含6碼）以上。 通行碼更改時新通行碼不得與前兩次重複，且通行碼應至少每三個月更換一次，並由單位主管確認人員密碼是否有依照規定異動。 若超過10分鐘未使用電腦，需設定螢幕通行碼保護。 作業系統存取控制 電子病歷系統使用者應視業務需求填寫「電子病歷使用權限申請/異動單」，經由單位主管核可，依照「電子病歷使用者權限」規範申請適當角色或權限。 病歷室人員每三個月需列出「電子病歷系統使用者帳號清單」，並由行政人員審核帳號權限及密碼更換是否符合管理規範，如發現異常，須立即停止帳號權限，調查異常原因。 資訊人員應管制電子病歷系統管理人員帳號，每半年定期審查並填寫「電子病歷系統管理者帳號審查表」，如有發現異常需註銷不適切之權限。 應用系統存取控制 因業務需求提出應用系統發展需求，或於系統維護過程產生之系統功能增修需求，應填寫院內「資訊系統工作委託單」。 經單位主管評估新增修改的內容，如有連動到相關單位，需與相關業務單位討論。 單位主管同意後簽名，交由資訊組與系統委外廠商連繫，上網填寫需求申請。 廠商修改異動的內容需記錄於該筆需求單內之「後續處置方式」內。 應用系統修改完成或是未完成，都需與提出業務單位進行回覆與驗收。 驗收結果需記錄於「資訊系統工作委託單」內之「後續處置方式」。 委外廠商如需進行遠端連線存取控制，需依照「廠商遠端連線申請流程」辦理。 資訊安全事件之管理 應建立資訊安全事件之處理作業程序，並賦予相關人員必要責任， 以便迅速有效處理資訊安全事件。 除正常應變計畫，資訊安全事件之處 理程序，應視需要納入下列事項： 導致資訊安全事件原因之分析。 防止類似事件再發生之補救措施。 電腦稽核軌跡及相關證據之蒐集。 與受影響之使用者進行溝通及說明。 通報程序 疑似資訊安全事件發生時，發現人員應依事件歸屬通報權責單位。 權責單位於收到通知後，研判是否為資訊安全事件。 資安通報程序 性質 等級 預定完 成日期 機密性 完整性 可用性 4 一天 醫院機密資料遭洩漏。 醫院重要資訊基礎建設系統或資料遭竄改。 醫院重要資訊基礎建設運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。 3 一天 密級或敏感資料遭洩漏。 核心業務系統或資料遭嚴重竄改。 核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回復正常運作。 2 二天 非屬密級或敏感之核心業務資料遭洩漏。 核心業務系統或資料遭輕微竄改。 核心業務運作遭影響或系統效率降低，於可容忍中斷時間內回復正常運作。 1 三天 非核