1. 資訊安全聲明

人人做資安，大家保平安；資安做得好，大家沒煩惱。

2. 資訊安全的目的

為保護本公司資訊資產(包括實體軟硬體設施、資料、資訊等)安全，免於因外在威脅或內在不當使用而遭受破壞、遺失或洩漏等風險，確保公司業務營運不中斷。

3. 管理目標

詳如本公司營運及資訊可用性、完整性、安全性等量測指標。

4. 範圍

本政策適用於本公司全部範圍及所有業務，包括全體員工、往來廠商、約聘人員與廠商委派支援本公司之工作人員等所有相關文件與紀錄、電腦系統、人員、服務、實體設備之管理。

5. 組織

本公司設置一個跨部門常態任務編組之『資通安全管理小組』，由副總經理擔任召集人，負責全公司資安業務規劃與執行，並擬訂公司資通安全管理、危機通報及緊急應變處理相關措施。

6. 管理原則

本公司資訊安全管理涵蓋11項資訊安全管理事項，以避免如因人為疏失、蓄意或天然災害等因素，遭致不當使用、破壞、遺失或洩漏等情事，而對本公司可能帶來相關風險及危害。本公司資訊安全管理事項如下：

6.1. 資訊安全政策制定及評估

6.2. 資訊安全組織及權責

6.3. 資訊資產之安全管理

6.4. 人員安全管理及教育訓練

6.5. 實體及環境安全管理

6.6. 電腦系統及網路安全管理

6.7. 系統存取控制

6.8. 系統發展及維護之安全管理

6.9. 業務永續運作計畫之規劃及管理

6.10. 資訊安全事故通報程序之建立及管理

6.11. 資訊安全法規適用檢查辦法之建立及管理

7. 責任

7.1. 本公司「資通安全管理小組」應適時檢討修訂本政策，並經高階主管核示執行，以確保該政策符合現行需求。

7.2. 各部門主管應主動宣導並要求其部屬瞭解及遵守本安全政策與所有資訊安全相關規定。

7.3. 全體員工應落實本政策之要求。

7.4. 派遣人員、約聘人員及簽約廠商都有責任遵循本安全政策。

7.5. 全體員工都有責任透過適當回報系統，回報所發現的資訊安全意外事故或資訊安全弱點。

7.6. 任何危及資訊安全的行為，都應訴諸適當的懲罰程序或法律行動。

7.7. 相關的資訊安全措施或規範應符合現行法令的要求。

8. 懲處

同仁如違反本規定及相關法令致危害本公司資訊安全，資訊管理單位應即停止其使用，並知會當事人及其主管。情節重大者，通報本小組及政風處協調相關單位會同查處。

9. 參考文件

9.1 CNS27001/ISO27001:2005作業程序

9.2 政府機關（構）資訊安全責任等級分級作業施行計畫

9.3 行政院及所屬各機關資訊安全管理要點

9.4 行政院及所屬各機關資訊安全管理規範