資訊安全政策

個人資料之蒐集及運用

李綜合醫療社團法人(以下簡稱本體系)為提供醫療照護、健康管理及網站服務之需要，將依《資通安全管理法》、《個人資料保護法》、《醫療法》及相關法令規定，蒐集、處理及利用必要之個人資料，並採取適當之資訊安全措施，以確保個人資料之機密性、完整性及可用性。當您使用本體系網站或線上服務時，系統可能自動記錄包括使用時間、IP 位址、瀏覽行為及系統操作等資訊，僅作為醫療服務提供、網站效能優化、資訊安全監控及異常事件分析之用途。本體系不會任意將您的個人資料提供予第三人，除依法令規定、主管機關要求或經當事人同意外，均將於合法、正當及必要範圍內使用，並持續強化資訊安全與隱私保護管理機制，以維護病人及使用者之權益

資訊安全權責與教育訓練

本體系對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員，妥適分工，分散權責並建立評估及考核制度，及視需要建立人員相互支援制度。 對離（休、停）職人員，依據人員離（休、停）職之處理程序辦理，並立即取消使用各項系統資源之權限。 依角色及職能為基礎，針對不同層級工作人員，視實際需要辦理資訊安全教育訓練及宣導，促使員工瞭解資訊安全的重要性，各種可能的安全風險，以提高員工資訊安全意識，遵守資訊安全規定。

資訊安全作業及保護

設有通報、應變及處理流程，明確規範相關單位與人員之權責，以即時降低事件影響並維持醫療服務持續運作。針對資訊系統、網路設備及相關資訊設施之異動，均依變更管理程序執行評估、測試、審核與紀錄，以避免因系統調整造成資訊安全漏洞或營運風險。本院亦採取適當之存取控制、資料加密、防毒防駭、弱點管理及資安監控措施，審慎保護病人個人資料及醫療資訊安全。同時建置資料備份、異地備援及災難復原機制，並定期執行備份驗證與復原演練，以確保於系統故障、災害事件或設備異常時，能迅速恢復正常醫療資訊服務，維護病人權益與醫療作業之持續性。視作業系統及安全管理需求訂定通行密碼核發及變更程序並作成記錄。 登入各作業系統時，依各級人員執行任務所必要之系統存取權限，由系統管理人員設定賦予權限之帳號與密碼，並定期更新。

網路安全管理

所有對外網路連線均透過防火牆、端點防護系統（EDR/MDR）、網路存取控制及身分驗證機制進行安全管控，以防止未經授權之存取、惡意攻擊及資料外洩事件發生。對於病歷、個人資料及其他機密性資訊，本院採取網路區隔、權限控管及資料加密等保護措施，不將敏感性資料存放於對外公開之資訊系統，並避免以未加密電子郵件傳輸機密文件或個人資料。同時，本體系定期執行網路安全檢測、弱點掃描、防毒更新及資安設備維護作業，持續更新病毒碼與各項安全防護機制，並透過監控、稽核與異常通報制度，即時發現與處理潛在資安風險，以確保醫療資訊服務之安全性、穩定性及持續運作。