1.目的

杏豐醫院（以下簡稱本院）為強化資訊安全管理，確保所屬

之資訊資產的機密性、完整性及可用性，以提供本院之資訊

業務持續運作之資訊環境，並符合相關法規之要求，使其免

於遭受內、外部的蓄意或意外之威脅，特定此政策規範。

2.適用範圍

資訊安全管理涵蓋 10 項管理事項，避免因人為疏失、蓄意

或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞

等情事發生，對本院帶來各種可能之風險及危害。管理事

項如下：

2.1 資訊安全政策訂定與評估。

2.2 資訊安全組織。

2.3 資產管理。

2.4 人力資源安全。

2.5 實體與環境安全。

2.6 通訊與作業管理。

2.7 存取控制安全。

2.8 系統開發與維護之安全。

2.9 資訊安全事件之反應及處理。

2.10 相關法規與施行單位政策之符合性。本院之內部人員、委

     外服務廠商與訪客皆應遵守本政策。

 3 .定義

3.1 資訊資產：係指為維持本院資訊業務正常運作之硬體、軟體

    、服務、文件及人員。

3.2 業務持續運作之資訊環境：係指為維持本院各項業務正常運

    作所需之電腦作業環境。

4. 目標

維護本院資訊資產之機密性、完整性與可用性，並保障使用

者資料隱私。藉 由全體同仁共同努力來達成下列目標：

4.1保護本院業務活動資訊，避免未經授權的存取。

4.2 保護本院業務活動資訊，避免未經授權的修改，確保其正確完  

   整。

4.3 建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資

  訊安全管理事項，確保本院具備可供業務持續運作之資訊環境。

4.4 辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對

   相關責任之認知。

4.5 執行資訊安全風險評估機制，提升資訊安全管理之有效性與即

   時性。

4.6 實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。

4.7 本院之業務活動執行須符合相關法令或法規之要求。

5.責任

4.1 本院的管理階層建立及審查此政策。

4.2 資訊安全管理者透過適當的標準和程序以實施此政策。

4.3 所有人員和委外服務廠商均須依照相關安全管理程序以維

   護資訊安全政策。

4.4 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。

4.5 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及

  行政責任或依本院之相關規定進行懲處。

6.審查

本政策應至少每年審查乙次，以反映政府法令、技術及業務等

最新發展現況， 以確保本院運作及資訊安全實務作業能力。

7.實施

6.1 資訊安全政策配合管理審查會議進行資訊安全政策審核。

6.2 本政策經「資訊安全委員會」核定後實施，修訂時亦同。