為強化資訊安全管理，建置符合國際標準之資訊安全管理系統(Information Security Management System, ISMS)，2020年導入ISO 27001管理系統認證，並於2021年通過驗證，確保公司營運核心的資訊系統及資訊機房管理符合國際資訊安全管理標準，免於因內、外部的各項風險衝擊，確保所屬之資訊資產的機密性、完整性及可用性，由最高管理階層擬定本政策，藉有效的系統運作，以提供本公司之業務持續運作環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。

資訊安全職責與政策

為統籌資訊安全管理等事項之協調及推動，依據【資訊安全組織管理程序】成立【資訊安全委員會】，配賦有關單位及人員權責；資訊單位為強化資訊安全管理、增進人員及合作廠商對資訊安全之認知，並確保資料、系統、設備與網路安全；任何蓄意違反資訊安全的行為將受到相關規範或法律責任。

資訊安全管理目標

確保重要資訊及服務之機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）與遵循性（Compliance）， 依【資訊安全績效管理程序】規劃定義及量測資訊安全績效之量化指標，以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。

適用性聲明書

依據「ISO 27001資訊安全管理系統-要求」要求制定「適用性聲明管理程序」，確認資訊安全管理各項控制措施，及其不適用之原因。當組織架構、人員、設備、實體環境等變動時，ISMS資安委員會將重新定義控制措施之適用性。

審查

本政策依據「資訊安全管理審查程序」每年至少審查乙次，以反映政府法令、技術及業務 等最新發展現況，以確保本公司營運持續及資訊安全實務作業能力；審查後若需對資訊安全政策進行制(修)訂時，依照「文件化資訊管理程序」規定辦理。

實施

資訊安全政策經管理審查會議核定後，發佈各單位實施，修訂時亦同。