目的

1. 作為本公司資訊安全管理制度（ISMS）相關管理辦法以及作業程序之參考依據。同時沿用國際標準組織所訂定之持續改善P.D.C.A.循環流程管理模式，整合及強化資訊安 全管理體系，建立制度化、文件化及系統化之管理機制，持續監督及審查管理績效，以落實資訊安全管理及業務持續營運之理念，並達到以下之標的：
   • 落實資通安全管理政策。
   • 全面導入資訊安全管理制度（ISMS）。
   • 培訓資訊人力資通安全專業能力。
   • 強化資通安全環境及資訊安全應變能力。
   • 達成資訊安全管理政策量測指標。
2. 確保本公司所屬之資訊資產之機密性、完整性及可用性，並符合相關法令法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，以保障本公司所屬職員或客戶之權益。

適用範圍

1. 本公司資訊安全管理制度（ISMS）所涵蓋範圍內皆適用之。
2. 資訊安全管理涵蓋14項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。管理事項如下：
   • 資訊安全管理政策制定及評估。
   • 資訊安全組織之職責與分工。
   • 人力資源安全。
   • 資訊資產管理。
   • 存取控制。
   • 密碼控制。
   • 實體與環境安全。
   • 作業管理。
   • 通訊管理。
   • 資訊系統獲取、開發及維護。
   • 供應商關係。
   • 資訊安全事故管理。
   • 營運持續管理之資訊安全層面。
   • 遵循性。

資訊安全管理目標

資安責任

1. 本公司的管理階層建立及審查此政策。
2. 資訊安全管理者透過適當的標準和程序以實施此政策。
3. 所有人員與合約供應商均須依照程序以維護資訊安全管理政策。
4. 所有人員有責任報告安全事件和任何已鑑別出的弱點。
5. 任何蓄意違反資訊安全的行為將受到相關規範或法律行動