一、目的
國防醫學院三軍總醫院松山分院（以下簡稱本院）為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本院之資訊業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。
二、適用範圍
本院全體單位。
三、定義
(一)服務：係指本院資訊組所提供之各項資訊服務，如醫療資訊系統（HIS）、影像儲存傳輸系統（PACS）與電子病歷系統（EMR）服務、網路服務…等。
(二)資訊資產：係指為維持本院資訊業務正常運作之硬體、軟體、服務、文件及人員。
四、資訊安全政策
本院資訊安全政策分述如下：
(一)強化人員認知、避免資料外洩。
(二)落實日常維運、確保服務可用。
五、資訊安全目標
(一)依據組織資訊安全願景，擬定相關資訊安全目標如下：
    1.辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。
    2.保護本院業務活動資訊，避免未經授權的存取。
    3.保護本院業務活動資訊，避免未經授權的修改，確保其正確完整。
    4.確保組織所提供之服務能夠維持一定水準之可用性。
(二)組織應針對上述資訊安全目標，擬定年度待辦事項、所需資源、負責人員、預計完成時間以及結果評估方式與評估結果，相關監督與量測程序，應遵循本院「監督與量測管理程序書」辦理。
(三)資訊安全組應於資訊安全管理委員會議中，針對資訊安全目標有效性量測結果進行報告。
六、責任
(一)管理階層應建立及審查此政策。
(二)資訊安全管理委員會透過適當的標準和程序以實施此政策。
(三)所有人員和委外服務供應商均須依照相關安全管理程序以維護資訊安全政策，必要時亦須知會關注者。
(四)所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
(五)任何危及資訊安全之行為，將視情節輕重追究其相關責任。
七、審查
(一)本政策應至少每年審查乙次，以反映政府法令、技術及業務等最新發展現況，以確保組織永續運作及資訊安全實務作業能力。
八、實施
(一)資訊安全政策配合資訊安全管理委員會議進行資訊安全政策審核。
(二)本政策經「資訊安全管理委員會資訊安全長」審核後公告實施，並應於組織內部進行傳達，修訂時亦同。