資訊安全政策

一、目的

為強化本院資訊安全及個資管理，確保所屬之資訊資產及個資檔案的機密性、完整性及可用性，以提供本院之資訊及個資業務持續運作之資訊環境，並符合相關法規之要求，特定此政策規範。

二、適用範圍

本院所有資訊安全及個資相關業務作業流程及本院所有內部人員、委外服務廠商與訪客皆應遵守本政策。

三、政策

3.1 應考量相關法律規章及營運要求，進行資訊資產及個資檔案之資訊風險評估，確定資訊作業安全需求，建立作業標準程序，採取適當資訊安全措施，確保資訊資產及個資檔案安全。
3.2 依據個人資料保護法與智慧財產法之相關規定，審慎處理及保護個人資訊與智慧財產權。
3.3 依人員角色及職能為基礎，建立評估或考核機制，並視實際需要辦理資訊安全及個資教育訓練及宣導活動。
3.4 資訊資產存取權限之賦予，應依業務需求並考量最小權限、權責區隔及獨立性審查。
3.5 建立資訊安全事件管理程序，以確保事件妥善回應、控制與處理，訂定業務持續計劃並定期演練，以確保資訊系統或服務持續運作。
3.6 定期執行資訊安全及個資稽核作業，檢視資訊安全及個資管理制度之落實。
3.7 違反本政策與資訊安全及個資相關規範，依相關法規或本院人事規定辦理。

四、目標

4.1 建立本院資訊安全及個資基本觀念與落實正確的資訊安全及個資保護行為。
4.2 防止人為意圖不當及不法使用資訊及網路系統。
4.3 確保所提供之服務能夠維持一定水準之可用性。
4.4 確保病歷資料之保護符合法令要求。
4.5 保護本院業務活動資訊，避免未經授權的修改，確保其正確完整。

五、責任

5.1 所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全及個資政策。
5.2 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
5.3 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本院之相關規定進行懲處。