概覽
慧聲智華平台處理聽力圖、問卷與病史等敏感資料,我們在設計時即將安全納入產品核心,而非事後補強。
傳輸
TLS 加密
儲存
AES-256 TDE
金鑰
KMS 管理
保護範圍(Scope)
典型資料類型:聽力圖、問卷、病史摘要、會診紀錄、追蹤紀錄、門市操作紀錄
資料分級:敏感資料(個人健康資訊)/ 內部營運資料 / 一般資料
共同責任(Shared Responsibility)
我方負責
- 加密(傳輸與儲存)
- 權限控制與角色管理機制
- 稽核紀錄與監控
- 備份與災難復原
- 漏洞修補與系統更新
客戶負責
- 帳號管理與密碼安全
- 角色分配與權限指派
- 員工離職時權限回收
- 裝置管理與實體安全
- 內部資安 SOP 與員工訓練
我們降低的威脅(Threats We Mitigate)
未授權存取與暴力破解
帳密外洩與憑證竊取
資料誤刪與不當操作
惡意掃描與注入攻擊
內部權限濫用
備份/金鑰單點風險
重要說明:本頁為標準配置概覽。實際部署架構與雲端服務選用會依客戶合作模式、合規要求與合約約定調整。
合規與標準(ISO / HIPAA)
我們的資訊安全制度以 ISO/IEC 27001 的 ISMS 架構建立,並持續進行風險評估與改善。
若客戶適用 HIPAA,我們的技術與流程對齊 HIPAA Security Rule 所要求的行政、實體與技術保護措施。
ISO/IEC 27001(ISMS)
建立資訊安全管理制度與持續改善機制(適用範圍依合約/實際部署約定)
- 風險評估與風險管理程序
- 資訊安全政策與目標設定
- 持續監控、量測與改善機制
- 內部稽核與管理審查流程
註:慧聲智華持續完善資訊安全管理體系,確保符合國際主流安全標準。
ISO/IEC 27701(PIMS)
可選隱私資訊管理延伸框架(依客戶隱私治理需求提供)
- 個人資料處理流程與責任界定
- 資料主體權利請求處理機制
HIPAA Security Rule 對齊
HIPAA Security Rule 將保護措施分為三大類,我們的技術與流程對齊以下要求:
Administrative Safeguards(行政保護措施)
對應 45 CFR 164.308
- 風險分析與風險管理
- 資訊安全教育訓練
- 安全事件處理程序
- 供應商管理與合約約束
Physical Safeguards(實體保護措施)
對應 45 CFR 164.310
- 設施存取控制與監控
- 工作站與裝置安全管理
- 媒體處置與銷毀程序
Technical Safeguards(技術保護措施)
對應 45 CFR 164.312
- 存取控制(唯一使用者識別、自動登出等)
- 稽核控制與紀錄機制
- 完整性控制(防止不當異動)
- 傳輸安全(TLS 加密)
重要說明:實際合規範圍與標準會依客戶合作模式、部署方式與合約約定調整。如有疑問請聯絡我們的客戶團隊。