資安政策

一、 前言：
為建立本院安全及可信賴之電子作業環境，遵循ISO/IEC 27001：2005資訊安全管理系統（Information Security Management System, ISMS）之各項要求，使本院能有效達成及管理各項資訊安全作為，並透過籌劃、管理、稽核及追蹤等手段，確保本院能達成各項資訊安全政策目標。

二、 適用範圍：
本政策適用範圍包含本院之人員、應用程式、硬體設備及網路設施。
由於提供本院「門診 」、「急診 」、「住院 」等為本院之業務核心所需之重要資訊設施均放置於本院資訊室機房，由資訊室進行維運，故首選「資訊室電腦機房維運」為本院資訊安全管理系統之驗證範圍，未來將視實際需要逐步推廣至本院其他範圍。

三、 目標：

1. 防範本院業務運作遭受資訊安全事件之影響，並保障本院資訊系統中各項資產均能達成機密性、完整性與可用性的要求。
2. 確保病患就醫及病歷資料受到嚴密保護，保障病患個人隱私權。
3. 確保醫療系統資料庫與相關應用系統正確執行。
4. 資料處理符合業務單位之需求，系統管控完善。
5. 確保本院電腦機房、網站及網路安全。

四、安全指標：
以資訊安全目標為依據訂定重要資訊安全指標，資訊安全指標由本院資通安全會報進行檢討與修正，每年至少一次。

五、 權責劃分：
依據「資通安全組織設置要點」成立相關組織並進行各項資安作業。

六、 員工責任：

1. 員工包括本院人員及相關外部人員。
2. 員工有參加本院舉辦各類資訊安全宣導教育之義務。
3. 員工發現資訊安全事件時，應儘速向資訊室人員通報並應配合資訊室人員指導協助處理資訊安全事件。
4. 員工應遵守院內各項資訊安全規定，並遵守「資訊安全法規查檢表」所列各項法律規定。

七、 審查與評估：

1. 本政策將依據本院資訊安全需求及外在網路環境變化進行必要之修正。
2. 本政策至少每年進行檢討乙次。