本公司之全體人員、業務往來單位、委外服務廠商與訪客等。

1. 資訊安全執行小組之政策制訂作業︰共同討論、編制、確認及公布本資訊安全政策。
2. 資訊安全委員會之政策審核作業︰審核本資訊安全政策。

無。

(一) 資訊安全目標
1. 保護本公司業務與服務之安全，資訊需經授權才可存取，確保其機密性。
2. 保護本公司業務與服務之安全，避免未經授權的修改，確保其正確性與完整性。
3. 建立本公司營運持續計畫，確保本公司業務與服務之持續運作。
4. 確保本公司各項業務與服務之執行符合相關法令、法規、契約之要求。

(二) 資訊安全責任
1. 應成立資訊安全組織，統籌資訊安全事項推動。
2. 管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。
3. 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。
4. 本公司全體人員、委外服務廠商均有責任通報資訊安全事件或弱點。
5. 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任，或依本公司之相關規定進行議處。

(三) 資訊安全管理指標
1. 應適當保護本公司資訊資產之機密性與完整性，每年至少需進行一次風險評鑑及帳號清查。
2. 確保本公司重要服務與設備維運每月達 90% 以上之可用性，且單次中斷不可超過 RTO。
3. 維護及演練營運持續計畫每年至少需進行一次，以確保本公司資訊業務服務得以持續運作。
4. 為確保本公司資訊安全措施或規範符合現行法令、法規、契約之要求，每年至少需稽核一次。

本政策應每年至少審查乙次，以反映政府法令、技術及業務等最新發展現況，以確保本公司業務永續運作之能力。

本政策經資訊安全委員會核定後實施，修訂時亦同。