1.目的：

 為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本公司之業務持續運作環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。
2.範圍：

    2.1. 適用於本公司資訊資產、系統及服務之安全管理作業，涵蓋機密性、完整性和可用性。

    2.2. 適用於本公司全體員工、提供資訊服務廠商及第三方人員。

    2.3. 本公司會維持資訊安全管理系統有效性並秉持持續改善的精神加以維護管理。

3.定義：

    所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業，包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體，以確保資訊蒐集、處理、傳送、儲存及流通之安全。

4.本公司資訊安全政策：

「資安為本、全員參與、落實保密」

強化本公司的資訊安全管理，建立「資安為本、全員參與、落實保密」之觀念，確保客戶及同仁資料處理之機密性、完整性及可用性，務實本公司資料之處理全程均獲安全保障，提供安全穩定及高效率之資訊服務。

5.主題特定政策：

    5.1. 存取控制

    5.2. 實體及環境安全

    5.3. 資產管理

    5.4. 資料傳送

    5.5  端點裝置之安全組態及處置

    5.6  網路安全

​    5.7  資訊安全事故管理

    5.8  資訊備份

    5.9  密碼學

    5.10 資訊分類分級及處理

    5.11  技術脆弱性管理

    5.12 保全開發政策

6.資訊安全組織

    6.1. 資訊安全管理委員會由資訊主管負責公司資訊安全管理制度之政策及目標核准、負責資安各標準制度之建置、實施與維持，資源調度等事項之協調及研議、相關事務之資源取得、分配、協調與督導。

   6.2 依據「資訊安全組織管理程序」建立資訊安全組織委員會，以確保任務明確之指派及ISMS有效之聯繫。

7.適用性聲明書：

    依據「ISO 27001資訊安全管理系統-要求」要求產出「適用性聲明書」，以書面方式列舉資訊資產是否適用其標準所列之控制措施，及其不適用之原因。當組織架構、人員、設備、實體環境等變動時，資訊安全管理委員應重新定義控制措施之適用性，並於每年管理審查會議審查資訊安全政適用性，審查通過後並於官網更新。