為維護本院資訊資產之機密性、完整性、安全性及可用性，並確保符合相關法規要求，保障本院與就醫民眾之權益，特制定本政策如下：

一、目的

本政策旨在強化本院資訊資產之保護，防止未經授權之存取、洩漏、破壞與其他資訊安全風險，確保本院業務運作與民眾權益不受影響。

二、適用範圍

本政策適用於本院所有資訊與通訊系統與服務，包含本院員工、與本院業務往來之單位，以及提供服務或勞務之委外廠商。

三、資訊安全願景

建立穩固、安全、可靠之資訊基礎設施與網路環境，提供全院員工與民眾安心使用之資訊服務。

四、政策目標

• 資訊系統全年可用性維持於99.8%以上。
• 各類醫療資訊系統如遇異常事件，應於可容忍中斷時間內恢復服務。
• 發生資安事件時，須於事件確認後1小時內完成通報，並依事件等級於時限內完成處置與結案。
• 持續因應法令與技術之變化調整資安措施，以防止未經授權之行為。
• 落實資安責任分級制度，降低潛在風險。

五、責任分工

• 各級主管應全力支持資訊安全推動。
• 設立資訊管理委員會，統籌資安規劃、執行與績效審查。
• 辦理資安教育訓練，提升全體人員資安意識。
• 各單位應指定專責人員負責資安事務。
• 所有人員及廠商須配合資安政策，發現事件應依程序通報。

六、風險評估與管理

• 每年依程序書辦理資訊資產與醫療儀器之風險評估。
• 就系統機密性、完整性、可用性及法律遵循性進行防護等級分級與管理。

七、違規處置

• 員工或廠商若違反本政策或有危害資訊安全之行為，將依院內相關獎懲規定處理。
• 獎懲依「本院人員資通安全事項獎懲基準」辦理。