目的

確保陽明醫院(以下簡稱本院)資訊系統服務正常且安全穩定的運作，規範本院之資訊安全管理制度最高指導方針，以建立安全、可信賴之資訊系統服務，並確保資訊資產之機密性、完整性、可用性及符合相關法規之要求，維持業務持續運作，降低資訊作業風險，進而保障資訊系統服務使用者之權益。

範圍

資訊安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資訊資產不當使用、洩漏、竄改、破壞等情事發生，對本院帶來可能之風險及危害。管理事項如下：
(一)     資訊安全政策。
(二)     資訊安全組織。
(三)     人力資源安全管理。
(四)     資訊資產管理。
(五)     存取控制管理。
(六)     密碼學管理。
(七)     實體與環境安全管理。
(八)     作業安全管理。
(九)     通訊安全管理。
(十)     資訊系統獲取、開發及維護管理。
(十一) 供應商關係管理。
(十二) 資訊安全事故管理。
(十三) 業務持續管理。
(十四) 遵循性管理。

權責單位

1.資訊發展暨安全管理委員會
   本院資訊發展暨安全管理階層決策組織。
2.資訊安全小組
   本院資訊安全管理制度規劃、建立、實施、維護、審查與持續改善，並將資訊安全相關議題於資訊發展暨安全管理委員會提報。
3.所有員工
   皆應共同遵守本資訊安全政策。
4.提供資訊服務之廠商
   皆應共同遵守本資訊安全政策。

通則

1.應考量相關法律規章及營運要求，進行資訊資產之資訊風險評估，確定資訊作業安全需求，採取適當資訊安全措施，確保資訊資產安全。
2.依角色及職能為基礎，建立評估或考核制度，並視實際需要辦理資訊安全教育訓練及宣導。
3.定期執行資訊安全稽核作業，檢視資訊安全管理制度之落實。
4.資訊資產存取權限之賦予，應業務需求並考量最小權限與權責區隔。
5.違反本政策與資訊安全相關規範，依相關法規或本院人事規定辦理。
6.建立資訊安全事故通報及應變程序，以確保資訊室及資訊機房持續運作。
7.訂定業務持續計畫並定期演練，以確保資訊室及資訊機房於重大資安事故發生時，能妥善回應。
8.依據個人資料保護法與智慧財產法之相關規定，審慎處理及保護個人資訊與智慧財產權。
9.為確保本院同仁皆知悉本院資訊安全要求，另訂定資訊安全管理作業流程及程序與資訊安全宣言告知本院同仁遵悉。
10.為確保本院同仁皆知悉本院個人資料保護管理要求，另訂定個人資料保護管理宣言告知本院同仁遵悉。

目標

1.維持本院資訊業務持續運作。
2.保護本院資訊資產，防止人為意圖不當或不法使用，遏止駭客、病毒等入侵及破壞之行為。
3.建立本院資訊作業之標準作業程序，避免人為作業疏失及意外，加強同仁資訊安全意識。
4.保護本院業務活動資訊，避免未經授權的修改，確保其正確完整。
5.建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本院具備可供業務持續運作之資訊環境。
6.辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。
7.執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。
8.本院之業務活動執行須符合相關法令或法規之要求。

審查

1.本政策應至少每年評估一次，以反映相關法令、技術及資訊室業務等最新發展現況，並予以適當修訂。
2.本政策經資訊發展暨安全管理委員會核准，於公告日施行，並以書面、電子或其他方式通知資訊室所有員工及提供資訊室資訊服務之廠商，修正亦同。