一、政策內容

1. 本政策旨在讓同仁於日常工作時有一明確指導原則，所有同仁皆有義務積極參與推動資訊安全工作，以確保本公司所有同仁之資料、資訊系統、設備及網路之安全維運，並期許全體同仁均能了解、實施與維持，以達下列資訊安全目標：

   (1)落實資訊安全，強化服務品質：
   由全體同仁貫徹執行ISMS，所有資訊作業相關措施，應確保業務資料之機密性、完整性及可用性，免於因外在之威脅或內部人員不當的管理，遭受洩密、破壞或遺失等風險，選擇適切的保護措施，將風險降至可接受程度持續進行監控、審查及稽核資訊安全制度的工作，強化服務品質，提升服務水準。
   (2)加強資安訓練，確保持續營運：
   督導全體同仁落實資訊安全管理工作，每年持續進行適當的資訊安全教育訓練，建立「資訊安全，人人有責」的觀念，促使同仁瞭解資訊安全之重要性，促其遵守資訊安全規定，藉此提高資安意識及緊急應變能力，降低資訊安全風險，達營運持續之目標。
   (3)做好緊急應變，迅速災害復原：訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫，並定期執行各項緊急應變流程的演練，以確保資訊系統失效或重大災害事件發生時，能迅速復原，確保關鍵性業務持續運作，並將損失降至最低。

2. 本公司各項資訊安全管理規定必須遵守政府相關法規(如：資通安全管理法及其施行細則、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法…等)之規定。
3. 成立資訊安全管理組織負責ISMS之建立及推動事宜。
4. 建立主機及網路使用之管理機制，以統籌分配、運用資源。
5. 新設備建置前，須將風險、安全因素納入考量，防範危害系統安全之情況發生。
6. 建立資訊機房實體及環境安全防護措施，並定期施以相關保養。
7. 明確規範網路系統之使用權限，防止未經授權之存取動作。
8. 訂定資訊安全管理系統內部稽核計畫，定期檢視本公司推行資訊安全管理系統範圍內所有人員及設備使用情形，依稽核報告擬訂及執行矯正預防措施。
9. 本公司之全體同仁(含約聘僱人員及工讀生)、委外服務廠商、資料使用者(含保管者)與訪客均負有維持資訊安全之責任，且應遵守相關之資訊安全管理規範。
10. 資訊安全管理系統文件應有明確之管理規範。

二、 責任

1. 本公司的管理階層負責建立及審查政策。
2. 資訊安全管理者透過適當的標準和程序以實施本政策。
3. 所有人員與契約委外廠商均須依照程序以維護資訊安全管理政策。
4. 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。
5. 任何蓄意違反資訊安全的行為將訴諸相關規範或法律行動。