1 一、設置者訂定之資訊安全管理規定(以下稱資安規定),應包括下列事 項: (一)資訊管理單位之組織、權責及分工。 (二)人員管理及資訊安全訓練。 (三)電腦系統安全管理。 (四)網路安全管理。 (五)資訊系統存取控制管理。 (六)資訊系統購置、發展及 維護安全管理。 (七)資訊資產之管理。 (八)實體及環境安全管理。 (九)資訊安全事件發生之通報及保全處理程序。 (十)業務持續及回復管理。 (十一)本規範與相關法令規定事項,及其他有關資訊安全事項。 資安規定應經設置者之倫理委員會審查通過後,報主管機關備查,修 正時亦同;倫理委員會審查時,應有資訊安全專家參與。資安規定應 逐年檢討,並為必要之修正。 2 二、設置者應指定主管人員負責資訊安全管理事項之協調及推動,並得成 立資訊安全推行小組,辦理資訊安全政策、規劃、執行等審議、督導 事項。 3 三、設置者對資訊有關業務及人員,應進行安全評估。 4 四、設置者應依所屬人員之業務特性,定期辦理資訊安全教育。 5 五、設置者、使用生物檢體及相關資料、資訊之第三人,其資訊管理人員 與研究人員間,不得互為兼任。 生物檢體其相關資料、資訊之資訊硬體系統與生物檢體本身,應分別 指定專人管理;該專人不得兼任前項相關資料、資訊之管理人員。 6 六、設置者得將資訊業務委託其他廠商辦理,應於委託契約中明定廠商之 資訊安全、管理責任、保密規定及建立定期稽核機制;並將本規範納 入成為契約之ㄧ部分。委託契約應明定機密保持之範圍、契約期間及 契約終了時所應負之義務。 7 七、設置者應定期更新漏洞、電腦病毒碼及其他惡意軟體防範之程式,確 保應用系統正常運作。 8 八、收案後所建置之生物資料庫之個人資料,應以實體隔離之方式建構及 使用,其資訊系統不得與網際網路連接。 9 九、生物資料庫有關資訊,非經設置者倫理委員會認可之技術加以處理, 不得以電子郵件或其他電子方式對外傳送。經倫理委員會認定有特別 保密必要之機密文件,不得以電子方式傳輸。 10 十、設置者應訂定系統存取政策及授權規定,經倫理委員會審查通過後, 以書面、電子或其他方式告知員工及使用者相關之權限及責任。 11 十一、設置者所屬人員之系統存取權限,以執行其職務所必要者為限;對 系統管理最高權限之人員及掌理重要技術及作業控制之特定人員, 應經審慎之授權,並定期查核其權限及活動日誌。 前項最高權限人員,至少應有二人。 12 十二、設置者離(休)職人員,應立即取消使用設置者各項資訊資源之所 有權限,並列入離(休)職之必要手續。 13 十三、設置者應建立系統使用者註冊管理制度,加強使用者通行密碼管理 ,並要求使用者之密碼長度及複雜度;使用者通行密碼之更新周期 ,由設置者視運用系統及安全管理需求決定,最長以六個月為限。 具有系統存取特別權限之人員,應建立使用人員名冊,加強安全控 管,並縮短通行密碼更新周期。 資訊之存取紀錄,應保留一定期間,並限制紀錄之存取活動,以維 持其完整性。 14 十四、設置者對生物資料庫資訊系統之建置與維護之承作者,應規範及限 制其可接觸之系統與資料範圍,並嚴禁核發長期之系統辨識碼及通 行密碼;承作者執行建置維護作業,應在設置者所屬人員監督下為 之。 15 十五、生物資料庫各項資料、資訊之安全措施,應依參與者之同意範圍, 進行不同等級之保護,並依同意書之變更,更改至適當等級。若因 同意書之變更致應銷毀其資料時,應以不可回復之方式銷毀。 16 十六、生物資料庫各項資訊設備移出設置者時,應經資訊安全管理主管人 員之核定,始得放行。 各項儲存設備報廢時,應核定其堪用狀況後,始得辦理報廢。 發現有不明人士,未經許可擅接網路之情事,應立即通知。 重要之資訊設備,必須上鎖,且保存於合於電腦機房安全空間。 17 十七、設置者為辦理人體生物資料庫管理條例(以下簡稱本條例)第十一 條第一項所定之事宜,應事前擬訂建立資訊安全事件通報機制,作 成事件處理紀錄,並應供日後教育訓練學習使用,且併同本條例第 十一條第二項關於救濟措施之規範報主管機關核定。 18 十八、設置者應訂定年度資訊安全稽核計畫,並應視需要不定期進行專案 稽核;稽核紀錄,應永久保存。 設置者提供第三人使用生物檢體及相關資料、資訊,應於契約內納 入資訊安全之要求,並準用前項規定,對該第三人進行資訊安全稽 核。 前二項之稽核計畫、稽核報告結果及改善計畫,應送倫理委員會審 查。倫理委員會得視必要,指派人員會同稽核。