1. 目的
1.1 作為本公司資訊安全管理制度(以下簡稱 ISMS)相關管理辦法以及作 業程序之參考依據。同時沿用國際標準組織(ISO)所訂定之持續改善 P.D.C.A.循環流程管理模式，整合及強化資通安全管理體系，建立制度 化、文件化及系統化之管理機制，持續監督及審查管理績效，以落實資 通安全管理及業務持續營運之理念，並達到以下之目標：
1.1.1 建立、落實及維護資通安全管理政策。
1.1.2 全面導入 ISMS。
1.1.3 培訓資訊人力在資訊及通訊領域之安全專業能力。
1.1.4 強化資通安全環境及資通安全應變能力。
1.1.5 達成資通安全管理政策量測指標。
1.2 確保本公司所屬之資訊資產之機密性、完整性及可用性，並符合相 關法令法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，以保 障本公司所屬利害關係人之權益。

2. 適用範圍
2.1 本公司 ISMS 所涵蓋範圍內皆適用之。
2.2 資通安全管理涵蓋 14 項管理事項，避免因人為疏失、蓄意或天然災 害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公 司帶來各種可能之風險及危害。

3. 資通安全責任
3.1 本公司的管理階層負責建立及審查政策。
3.2 資通安全管理者透過適當的標準和程序以實施本政策。
3.3 所有人員與契約委外廠商均須依照程序以維護資通安全管理政策。
3.4 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。
3.5 任何蓄意違反資通安全的行為將受到相關規範或法律行動。

4. 實施
4.1 考量相關法律規章及公司營運要求，評估資通訊作業安全需求，建 立相關程序，以確保資訊資產之機密性、完整性及可用性。
4.2 建立本公司資通安全組織並訂定分工權責，俾利推行資通安全作業。
4.3 建立資通安全事件通報應變機制，以確保資安事件妥善回應、控制 及處理。
4.4 定期執行資通安全稽核作業，以確保資通安全管理落實執行。
4.5 定期辦理 ISMS 管理審查會議，以確保相關程序的適切性及有效性， 並評估政策與目標的適當性。

5. 審查
5.1 本政策每年應至少評估檢討一次，以反映本公司資通安全需求、政 府法令法規、外在網路環境變化及資通安全技術等最新發展現況，以確 保其對於維持營運和提供適當服務的能力。
5.2 本政策如遇重大改變時應立即審查，以確保其適當性與有效性。必 要時應告知相關單位及委外廠商，以利共同遵守。

6. 發布實施
本政策經資通安全長核准，於公告日施行，並以書面、電子或其他方式 通知本公司所屬職員及與本公司有關機關（構）、委外廠商，修正時亦同。