1、資訊安全目的與範圍

對象：包括全體員工，客戶，供應商和股東以及營運相關資訊軟硬體設備。
範圍：為確保本公司資訊安全，制定相關規章制度，應用技術和數據安全標準制定，並納入管理運作體系，以保障員工，供應商和客戶進行業務接洽時之隱私權保護與資訊安全維護。

2、資訊安全風險架構

※由本公司總經理召集成立跨部門資訊安全管理小組，資訊部門與行政管理部門負責主導及規劃，各業務相關單位配合執行，以確認本公司資訊安全管理運作之有效性。
※資訊安全管理小組負責制定資訊安全管理政策，定期檢討修正。
※資訊安全管理小組定期召開會議檢討執行情形。

3、資訊安全政策目標：

※確保本公司營運業務持續運作，且本公司提供的資訊服務可穩定使用。
※確保本公司所保管的資訊資產之機密性、完整性與可用性，並保障人員資料之隱私。
※建立資訊業務永續運作計畫，執行符合相關法令或法規要求之資訊業務活動運作。

4、資訊安全控制措施：

※建立訂定期盤點資訊資產清單，依資安風險評鑑進行風險管理，落實各項管控措施。
※公司定期執行資訊安全宣導作業，每年辦理與資訊安全教育訓練，新進人員皆須簽定資訊保密協定。
※本公司所有員工、委外廠商暨其協力廠商須簽定保密聲明書，已確保使用本公司資訊以提供資訊服務或執行相關資訊業務者，有責任及義務保護其所取得或使用本公司之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。
※重要資訊系統或設備應建置適當之備援或監控機制並定期演練，維持其可用性。
※個人電腦應安裝防毒軟體且定期確認病毒碼之更新，並禁止使用未經授權軟體。
※全體同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
※制定資訊安全事件的回應及通報標準程序，以適當對資訊安全事件做即時處理，避免傷害擴大。
※全體同仁應遵守法律規範與資訊安全政策要求，主管人員應督導資安遵行制度落實情況，強化同仁資安認知及法令觀念。