(1)成立資訊安全管理組織，督導資訊安全管理制度之運作，鑑別資訊安全管理制度之內、外部議題及關注方對本公司之資訊安全要求與期望。

(2)管理階層承諾維護資訊安全，持續改善資訊安全品質，並負保護隱私權及身份識別資訊之責，減少資訊安全事故之發生，以保障客戶之權益。

(3)遵循內外部相關法令規定，建立應有之管控程序，定期執行資訊安全查核作業。

(4)資訊安全管理制度文件應適時更新，紀錄之保護應有明確管理機制。

(5)定期執行風險評鑑、訂定作業持續運作計畫，確實執行測試演練、檢視資訊安全指標，以維持資訊安全管理制度及管控程序實施之有效性。

(6)對於與本公司有業務往來之廠商及其員工、臨時雇員、訪客有存取本公司資訊資產之需求時，應進行必要之審核及告知應遵守之資訊安全規範；該等人員並負有保護其所擁有、保管或使用本公司資訊資產之責任。

(7)確保工作區域場所之安全，以防範資訊資產遭竊取或毀損。

(8)落實網路通訊安全及組態管理。

(9)資訊作業或程序之開發、修改及建置，皆須符合並遵循資訊安全目標之規定。

(10)本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之情事，並依程序進行通報。

(11)應採用行動裝置安全措施，以管理使用行動裝置所導致之風險。

(12)應於資訊作業專案管理中納入資訊安全相關議題。

(13)本公司全體員工皆有責任及義務保護其擁有、保管或使用之資訊資產。

(14)工作分派應考量職能分工，職務責任範圍應予區分，以避免資訊或服務遭未經授權修改或誤用。

(15)控管人員存取具威脅或惡意之網站。