資通安全暨個人資料保護政策
一、國家衛生研究院(以下簡稱本院)為推動資訊安全管理系統(以下簡稱ISMS)及個人資訊管理系統(以下簡稱PIMS),建立安全及可信賴之資訊環境,確保資料、資通系統、設備及網路安全,特訂定本政策,以為遵循。
二、本政策係考量本院組織全景(本院核心業務、相關法令法規、內外部關注方之要求與期望等因素)訂定之,作為本院資通安全及個人資料保護之目標與方向。
三、為使本院業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),本院訂定相關目標如下:
(一)ISMS目標:
- 加強相關管控,維持資訊資產之機密性、完整性及可用性。
- 發生或得知資通安全事件時,應依規定進行通報、應變及處理,並透過定期演練熟悉通報及應變流程。
- 依資通安全相關法令法規之要求,辦理相關防護及管理作業。
- 遵循管理系統PDCA模式,定期或不定期檢討相關管控措施,以確保其適用。
(二)PIMS目標:
- 個人資料之蒐集、處理及利用,應避免人格權受侵害,促進個人資料合理利用及最小化使用,並保護個人資料蒐集、處理、利用、儲存、傳輸、銷毁及國際傳輸過程。
- 尊重當事人相關權益,建立當事人行使個人資料保護相關權益程序。
- 定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級,對高於可接受風險等級者,採取適當防護措施。
四、相關目標達成有效性之量測項目與方法,需經「資通安全暨個人資料保護管理委員會」審查,量測結果應記錄於「有效性量測結果紀錄表」。
五、本政策應每年於管理審查會議檢視一次,以符合政府法令之要求,反映資訊科技發展趨勢,確保本院資通安全及個人資料保護管理作業之有效性。