佛教慈濟醫療財團法人資通安全暨個資保護政策

115年 01 月 29 日修訂

目的：

• 為確保佛教慈濟醫療財團法人(以下簡稱本法人)及其所屬醫院之資訊資產的機密性、完整性及可用性，符合「資通安全管理法」及其子法等相關法令、法規之要求，以及本法人所持有之個人資料，其個人資料之蒐集、處理及利用程序合於「個人資料保護法」及其子法、個資保護管理國際標準之要求，使其免於遭受內、外部蓄意或意外之威脅、內部管理疏失或不當使用等風險，特訂定本政策。

適用範圍：

• 本政策適用範圍為本法人之全體同仁、委外服務廠商及民眾等。
• 資通安全管理範疇涵蓋組織、人員、實體及技術等4大領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本法人造成各種可能之風險。
• 個資保護範疇為本法人之全體同仁，含括處理個人可識別資訊（PII）之控制者、處理者及聯合控制者等，協助組織滿足個資保護法規要求並保護其個人資料安全。

目標：

• 建立安全及可信賴之資通作業環境，確保本法人電腦資料、系統、設備及網路之安全，以保障本法人業務永續運作。
• 保護本法人業務服務之安全，確保資通系統及相關資訊需經授權人員才可存取資訊，以確保其機密性。
• 保護本法人業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。
• 建立本法人業務永續運作計畫，以確保本法人資通業務服務之持續運作。
• 確保本法人各項業務服務之執行須符合相關法令或法規之要求。
• 為保護本法人業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
• 提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。
• 定期針對個人資料檔案進行盤點與風險評鑑，鑑別可承受風險等級。

責任：

• 本法人應成立資通安全暨個資保護組織，以統籌資通安全暨個資保護事項推動事宜。
• 管理階層應積極參與及支持資通安全管理制度，並透過適當的標準和程序以實施本政策。
• 本法人全體同仁、委外服務廠商等皆應遵守本政策。
• 本法人全體同仁、委外服務廠商均有責任透過適當通報機制，通報資通安全事件或弱點。
• 任何危及資通安全暨個資保護之行為，將視情節輕重追究其民事、刑事及行政責任，或依「刑法」、「民法」或本法人之相關規範進行議處。

管理指標：

• 為評量
• 對於個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範資通安全暨個資保護管理目標達成情形，本法人應訂定相關管理指標，並定期監控、評估及改善。
• 應定期審查本法人資通安全暨個資保護組織人員執掌，以確保資通安全暨個資保護工作之推展。
• 應符合主管機關之要求，依員工職務及責任提供適當之資通安全暨個資保護相關訓練。
• 應加強本法人資訊資產之環境安全，採取適當之保護及權限控管機制。
• 應確保資訊不被透漏給未經授權之第三者。
• 應加強存取控制，防止未經授權之不當存取，以確保本院資訊資產已受適當之保護。
• 本法人資訊系統開發應考量安全需求，並定期稽核安全弱點。
• 應確保所有資通安全事件或可疑之安全弱點，均依循適當之通報機制向上反應，並予以適當調查及處理。
• 本法人以嚴密之措施、政策保護當事人之個人資料，包括但不限於本法人之所有員工，應接受個資保護、隱私權保護或資安相關之教育訓練，本法人之委外廠商或合作廠商與本法人業務合作時，均簽有保密契約，使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任，倘有違反保密義務之情事者，將受嚴格之內部懲處或嚴重之違約求償，並追究其民、刑事法律責任。
• 本法人因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號（護照號碼）、特徵、指紋、婚姻、家庭、教育、職業等個人資料，應遵循我國個人資料保護法等法令，適當、公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定，圍，並應與蒐集之目的具有正當合理之關聯。
• 本法人所蒐集、處理之個人資料，應遵循我國個人資料保護法及本法人管理制度相關規範，且個人資料之使用為本法人營運或業務所需，方可為本法人承辦同仁利用。
• 當本法人接獲個人資料調閱或異動之需求時，應依本法人所訂之程序，於合法範圍內進行當事人之個人資料利用。

管理審查：

• 本政策應每年至少審查1次，以反映政府法令、技術及業務等最新發展情況，確保本法人業務永續運作之能力。資通安全暨個資保護組織、主管機關(或法令、法規要求)、或專家學者等利害關係人如有資通安全暨個資保護相關回饋事項，應將列入管理審查會議之討論議題。

本政策經本法人執行長核准後公告實施，修改時亦同。