全聯會函轉知 衛福部公告「醫療機構電子病歷製作及管理辦法第六條第三項所定中央主管機關認可之資訊安全標準驗證規定」及「醫療機構電子病歷製作及管理辦法第八條所定雲端服務之資料儲存地點、提供雲端服務者及中央

主旨：轉知衛生福利部公告「醫療機構電子病歷製作及管理辦法 第六條第三項所定中央主管機關認可之資訊安全標準驗證 規定」及「醫療機構電子病歷製作及管理辦法第八條所定 雲端服務之資料儲存地點、提供雲端服務者及中央主管機 關認可之資訊安全標準驗證規定」各1份，請 查照。#153

說明：

一、依據衛生福利部112年2月18日衛部資字第1122660046C號函 辦理(如附件)。

二、「醫療機構電子病歷製作及管理辦法第六條第三項所定中 央主管機關認可之資訊安全標準驗證規定」
(一)醫療機構依醫療機構電子病歷製作及管理辦法第六條第 一項規定委託受託機構建置及管理其電子病歷資訊系統者，受託機構應通過下列資訊安全標準驗證：
１、ISO/CNS 27001：自公告日(112年2月18日)起。
２、ISO/CNS 27701：自公告日(112年2月18日)起3年內增列。
(二)前項驗證範圍應涵蓋專案開發、支援、實作、維護、管 理或操作等相關流程之一，驗證文件應持續有效，且發 證單位應為國際認證論壇（International Accreditation Forum，IAF）認證機構認可之驗證機 構。

三、「醫療機構電子病歷製作及管理辦法第八條所定雲端服務 之資料儲存地點、提供雲端服務者及中央主管機關認可之 資訊安全標準驗證規定」
(一)醫療機構電子病歷製作及管理辦法（以下稱本辦法）第 八條第二項規範雲端服務之資料儲存地點，係指雲端服 務存取、備份與備援資料之實體所在地（包含暫存資 料），均應設置於我國境內，並具備相關證明。
(二)本辦法第八條第三項所定提供雲端服務者，不得為行政 院公共工程委員會101年09月13日工程企字第 10100346580號函所定下列陸資廠商：
１、大陸地區廠商：指依大陸地區法律設立登記之公司、 合夥或獨資之工商行號、法人、機構或團體。
２、第三地區含陸資成分廠商：非依兩岸之法律設立登記 而含陸資之廠商，且符合大陸地區人民來臺投資許可 辦法第3條第2項規定之陸資投資公司，即大陸地區人 民、法人、團體、其他機構直接或間接持有該第三地 區公司股份或出資總額逾百分之三十或對該第三地區 公司具有控制能力。
３、在臺陸資廠商：依我國法律設立登記之公司或事業， 且屬大陸地區人民來臺投資許可辦法第5條規定之陸資投資事業。
(三)醫療機構依本辦法第八條第一項規定委託受託機構提供 雲端服務時，提供雲端服務者應通過本部認可之下列資 訊安全標準驗證：
１、資訊安全標準驗證：
(１)ISO/CNS 27001、ISO27017、ISO/CNS27018及ISO /CNS27701（或BS10012）：自公告日(112年2月18 日)起。 (２)ISO/CNS 22301：自公告日(112年2月18日)起3年內 增列。
２、前款驗證範圍應涵蓋所使用之雲端服務相關流程，驗 證文件應持續有效，且驗證文件之發證單位應為國際 認證論壇（International Accreditation Forum， IAF）認證機構認可之驗證機構。

四、本函訊息刊登本會網站。

正本：各縣市醫師公會

附件