1. 政策
    為了促使本公司各項資訊安全管理制度能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒佈此一資訊安全政策,讓員工於日常工作時有一明確指導原則,保障本公司之權益,並期許全體同仁均能了解、實施與維持,達到本公司營運的目標。
    1. 強化資安訓練,提升資安認知
      督導員工落實資訊安全工作,建立「資訊安全,人人有責」的觀念,每年持續進行適當的資訊安全訓練,以提高資訊安全意識。員工如有違反資訊安全相關規定,究其權責依人員獎懲相關規定辦理。
    2. 落實資訊安全,確保持續營運
      由本公司全體員工貫徹執行資訊安全管理制度,以保護資訊資產免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核ISMS制度的工作,確保營運持續,達到永續經營的目的。
  1. 資訊安全政策內容
    1. 本公司各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法及其施行細則、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法…等)之規定,以及配合遵循本公司承接各項專案簽訂之合約內有關資安之要求。
    2. 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
    3. 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
    4. 建立主機及網路使用之管理機制,以統籌分配、運用資源。
    5. 新設備建置前,須將風險、安全因素納入考量,防範危害系統安全之情況發生。
    6. 建立資訊機房實體及環境安全防護措施,並定期施以相關保養。
    7. 明確規範網路系統之使用權限,防止未經授權之存取動作。
    8. 訂定資訊安全管理系統內部稽核計畫,定期檢視本公司推行資訊安全管理系統範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
    9. 訂定營運持續管理規定並實際演練,確保本公司業務持續運作。
    10. 本公司所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規範。
    11. 資訊安全管理系統文件應有明確之管理規範。
  1. 責任
    1. 本公司的管理階層建立及審查此政策。
    2. 資訊安全管理者透過適當的標準和程序以實施此政策。
    3. 所有人員與外部合約供應商,均須遵守本公司資訊安全管理制度(ISMS)所要求之各項程序以維護本政策各項規範。
    4. 所有人員有責任報告安全事件,和任何已鑑別出的弱點。
    5. 所有人員與外部合約供應商,若蓄意違反本公司資訊安全規範及法令法規之行為,都將受到相關懲處或負法律之刑責。