1 目的

    為維護本公司資訊與通訊中心及其核心業務相關資訊資產（資訊資產包括資料、系統、設備等）之安全，防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，確保本公司資訊處理作業能安全有效地運作，特制訂資訊安全政策（以下簡稱本政策）以為遵循。

2 依據

    本政策係依據CNS27001:2013國家標準等資訊安全規定，並參酌其他資訊安全相關之國際標準如 ISO/IEC27001:2013等有關法令與規定，考量本公司資訊業務需求訂定。

3 政策聲明
    『健全資訊安全架構，提供安全效率的服務』
    3.1 加強內部控制，防止未經授權之不當存取，以確保資訊資產受適當的保護。
    3.2 適當保護資訊資產之機密性與完整性。
    3.3 確保資訊不會在傳遞過程中，或因無意間的行為透露給未經授權的第三者。
    3.4 確保所有資訊安全意外事故或可疑之安全弱點，都應依循適當通報機制向上反應，予以適當調查及處理。
    3.5 經由教育訓練及發佈之資訊安全程序、辦法，使得核心之業務人員、相關單位配合人員及網路應用之使用者，皆能充份遵循本政策及措施。
    3.6 符合各種法律規章之要求。

4 資訊安全目標
    為使本公司資訊資產受到適當之保護，並維持本公司業務運作之有效性及持續性，資訊安全目標如下：
    4.1 定量化目標包括：
        4.1.1 確保機房內核心系統服務達到全年95% 以上之可用性。
        4.1.2 資訊安全事件每年發生率低於五次。
    4.2 定性化目標包括：
        4.2.1 適用人員
            所有本公司資訊所有人員、維護廠商、業務往來者，只要涉及任何資訊安全管理系統所涵蓋的範圍，都有責任來實施或配合這個政策。
        4.2.2 適用範圍
            資訊安全管理系統適用於本公司的作業活動，其範圍包括：
            4.2.2.1 資訊中心擁有及託管於本中心之各種資訊資產及資料。
            4.2.2.2 資訊中心之辨公處所、建築、機房設備及網路之設備。
            4.2.2.3 執行作業之人員、系統、手冊、工具、基礎建設。
        4.2.3 責任劃分
            4.2.3.1 本公司資訊中心所有同仁應積極參與資訊安全管理系統活動，提供對資訊安全管理系統之支持。
            4.2.3.2 資訊安全負責人負責本資訊安全政策之維護與落實。
            4.2.3.3 資訊安全小組應提供明確之指示，適時修訂本政策，以確保本政策符合現行需求。
            4.2.3.4 本公司應透過適當程序落實本政策之要求。
            4.2.3.5 本公司高階主管應積極參與資訊安全管理制度(ISMS)活動，提供對ISMS之支持及承諾，並適時覆核本政策。
            4.2.3.6 本公司所有人員都有責任透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。
        4.2.4 資訊安全政策之遵循
            本公司資訊中心所有員工、簽約廠商、委外廠商未遵循本政策或相關資訊安全規定，或行使其他任何危及本公司資訊安全之行為，都將訴諸適當之懲罰程序或法律行動；對於資訊安全法令或客戶技術提供改進意見，經執行確具成效者，應依本公司之人事考核規定給予適當獎勵。
        4.2.5 修訂
            本政策應至少每年評估一次，以符合政府法令及客戶之要求，並反映資訊科技發展趨勢，確保本公司資訊安全管理作業之有效性。