壹. 目的

1. 作為本公司「資訊安全管理制度（以下簡稱ISMS）」相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織（ISO）所訂定之持續改善P.D.C.A.循環流程管理模式，整合及強化資通安全管理體系，建立制度化、文件化及系統化之管理機制，持續監督及審查管理績效，以落實資通安全管理及業務持續營運之理念，並達到以下目標：
   1.1. 建立、落實及維護資通安全管理政策。
   1.2. 全面導入ISMS。
   1.3. 培訓資通人力在資訊及通訊領域之安全專業能力。
   1.4. 強化資通安全環境及資通安全應變能力。
   1.5. 達成資通安全管理政策量測指標。
2. 確保本公司所屬資訊資產之機密性、完整性及可用性，並符合相關法令法規要求，使其免於遭受內、外部的蓄意或意外之威脅，以保障本公司所屬利害關係人之權益。

貳. 適用範圍

1. 本公司ISMS所涵蓋範圍內皆適用之。
2. 資通安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。管理事項如下：
   2.1. 資通安全管理政策制定及評估。
   2.2. 資通安全組織之職責與分工。
   2.3. 人力資源安全。
   2.4. 資訊資產管理。
   2.5. 存取控制。
   2.6. 密碼控制。
   2.7. 實體與環境安全。
   2.8. 作業安全。
   2.9. 通訊安全。
   2.10. 資訊系統獲取、開發及維護。
   2.11. 供應商關係。
   2.12. 資通安全事故管理。
   2.13. 營運持續管理的資通安全層面。
   2.14. 遵循性。

參. 資通安全責任

1. 本公司的管理階層負責建立及審查政策。
2. 資通安全管理者透過適當的標準和程序以實施本政策。
3. 所有人員與契約委外廠商均須依照程序以維護資通安全管理政策。
4. 所有人員有責任通報及處理安全事件和任何已鑑別出的弱點。
5. 任何蓄意違反資通安全的行為將受到相關規範或法律行動。

肆. 審查

1. 本政策每年應至少評估檢討一次，以反映本公司資通安全需求、政府法令法規、外在網路環境變化及資通安全技術等最新發展現況，以確保其對於維持營運和提供適當服務的能力。
2. 本政策如遇重大改變時應立即審查，以確保其適當性與有效性。必要時應告知相關單位及委外廠商，以利共同遵守。

伍. 發布實施

1. 本政策經資通安全長核准後於公告日施行，並以書面、電子或其他方式通知本公司所屬職員及與本公司連線作業之有關機關（構）、委外廠商，修正時亦同。