信息安全政策

为确保本公司之数据、信息、设备、人员、网络等重要信息资产之机密性、完整性，衡酌本公司业务须求，特订定本公司“信息安全政策”。举凡本公司所有同仁及与本公司有业务往来之厂商、访客等，皆应遵守本政策。 

信息安全风险管理架构

信息安全目标 

1. 确保本公司信息作业可正确、完整、可用的持续营运。 
2. 确保本公司重要信息之机密性，落实数据存取控制，信息须经授权人员核可方能存取，不得逾越。 

信息安全控制措施

1. 信息部门确认本公司信息安全管理运作之有效性。 
2. 创建信息资产清单，依资安进行管理，落实各项管控措施。
3. 新进同仁须参与信息安全教育训练以提昇信息安全防护之认知观念，公司定期运行信息安全宣导作业。
4. 本公司所有员工、委外厂商暨其协力厂商及访客等，凡使用本公司信息以提供信息服务 或执行相关信息业务等，皆有责任及义务保护其所取得或使用本公司之信息资产，以防止遭未经授权存取、擅改、破坏或不当揭露。 
5. 建立安全、可靠的资讯系统环境，使本公司业务得以永续经营。重要资讯系统或设备应建置适当之备援或监控机制并定期演练，维持其可用性。同仁之个人电脑应安装杀毒软件且定期确认病毒码之更新，并禁止使用未经授权软件。 
6. 同仁个人持有之帐号、密码与权限应善尽保管与使用责任并定期换置。 
7. 设计适当之信息安全事件的回应及通报进程，以能适当对信息安全事件做立即反应，避免伤害扩大。
8. 本公司全体同仁应遵守法律规范与信息安全政策之要求，主管人员应督导资安遵行制度落实情况，强化同仁资安认知及法令观念。