资讯安全政策-大同医护官方网站

 

English 简体 繁体
布告栏
  活动快讯
  媒体报导
  资讯安全政策
资讯安全政策

资讯安全政策

资讯安全政策

1         目的

⼤同医护(以下简称本公司)为强化资讯安全管理,确保所属之资讯资产的机密性、完整性及可⽤性,以提供本公司之资讯业务持续运作之资讯环境,并符合相关法规之要求,使其免于遭受内、外部的蓄意或意外之威胁,特定此政策规范。

2         适用范围

2.1   本公司所有单位及委外单位。

2.2   范围订定应考量:

2.2.1        背景环境、内外部议题

2.2.2        利害相关者(含法律、法规、合约)要求

2.2.3        单位所执行之活动间的界面及相依性

相关验证范围及利害团体关注事项之鉴别结果,展现于「IS-04-015-003资讯安全管理系统范围」,并由公司主管核定。

2.3   资讯安全管理涵盖14项管理事项,避免因人为疏失、蓄意或天然灾害等因素,导致资料不当使用、泄漏、窜改、破坏等情事发生,对本公司未來各种可能之风险及危害。管理事项如下:

2.3.1        资讯安全政策。

2.3.2        资讯安全之组织。

2.3.3        人力资源安全。

2.3.4        资产管理。

2.3.5        存取控制安全。

2.3.6        密码学

2.3.7        实体及环境安全。

2.3.8        运作安全

2.3.9        通讯安全。

2.3.10   系统获取、开发与维护。

2.3.11   供应者关系

2.3.12   资讯安全事故管理。

2.3.13   营运持续管理之资讯安全层面。

2.3.14   遵循性。

3         定义

3.1   资讯资产:系指为维持本公司各项业务正常运作之硬体、软体、资讯、人员及环境。

3.2   营运持续运作之资讯环境:系指为维持本公司各项业务正常运作所需之电脑作业环境。

4         目标

4.1   维护本公司资讯资产之机密性、完整性与可用性,并保障使用者资料隐私。藉由全体同仁共同努力來达成下列目标:

4.1.1  保护本公司业务活动资讯,避免未经授权的存取,确保其机密性。

4.1.2  保护本公司业务活动资讯,避免未经授权的修改,确保其正确完整。

4.1.3  建立跨部门之资讯安全组织,制订、推动、实施及评估改进资讯安全管理事项,确保本公司具备可供业务持续运作之资讯环境。

4.1.4  办理资讯安全教育训练,推广员工资讯安全之意识与强化其对相关责任之认知。

4.1.5  执行资讯安全风险评估机制,提升资讯安全管理之有效性与即时性。

4.1.6  实施资讯安全内部稽核制度,确保资讯安全管理之落实执行。

4.1.7  本公司之业务活动执行须符合相关法令或法规之要求。

5         责任

5.1   本公司的资讯安全管理委员会建立及审查此政策。

5.2   资讯安全组织成员透过适当的标准和程序以实施此政策。

5.3   本公司全体人员和委外服务厂商均须依照相关安全管理程序以维护资讯安全政策。

5.4   所有人员有责任报告资讯安全事件和任何已鉴别出之弱点。

5.5   任何危及资讯安全之行为,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处。

6         管理指标

为评量资讯安全管理目标达成情形,特订定资讯安全管理指标如下:

6.1   凡本公司机密业务资讯或个人资料,须达全年零外泄,以确保本公司相关业务之机密性。

6.2   凡本公司业务相关资讯之完整性,须达100%,以确保本公司相关业务之完整性。

6.3   确保本公司资讯服务可用性之要求如下:

6.3.1        机房维运服务达全年上班时间95%以上。

6.3.2        关键业务系统服务达全年上线时间95%以上。

6.4   为确保本公司资讯安全措施或规范符合现行法令、法规之要求,每年至少需执行乙次内部稽核,每季至少需执行乙次内部有效性检查,不得有违反法律之要求,以确保本公司相关业务之适法性。

7         审查

7.1   本政策应至少每年审查乙次,以反映政府法令、技术及业务等最新发展现况,以确保本公司永续运作及资讯安全实务作业能力。

8         实施

8.1   资讯安全政策配合管理审查会议进行资讯安全政策审核。

8.2   本政策经「资讯安全管理委员会」进行审核后实施,修订时亦同。

无任何资料

[ 回上页 ]