2.1 系统适用范围

本公司依实际需要及符合政府与相关法令要求建立资讯安全管理系统。为确保资讯之机密性、完整性、及可用性，透过ASH 组织全景评鉴表[6.1]，将本系统适用范围设定为 资讯安全管理系统操作与维运；包括：资讯服务部、资讯机房维运及 ERP、MES、EDI、PLM、EIP系统维护之安全管理，己充份掌握资讯运作及管理过程并满足各项安全要求与期盼。

本公司于建置资讯安全管理系统之初衷及系统执行之结果，均应将内外部单位对资讯安全方面之议题，及关注方对资讯安全管理系统之期盼与要求纳入考虑，并列入目标与成效评估范围。这些资讯安全相关议题、期盼或要求，应列入风险评估及风险管理，以确保资讯安全管理系统能达成预期效果及持续改善。并于风险评鉴过程中必须要能识别风险拥有者。

本公司应于相关部门及层级建立资讯安全目标，并可与资讯安全政策对应或链接，且必须(1)可以量测 (2)成效量测方式 (3)需订定完成日期 (4)需有负责人员(负责单位)。

高阶政策

本公司资讯安全政策订定如下：

1. 有效确保重要资讯应有之机密性、完整性、可用性及适法性。
2. 资讯安全目标须与政策一致性，并须定期评估其适用性。
3. 须清楚定义资讯安全相关工作职掌及权限。
4. 资讯安全管理系统之运作，需满足及达成内外部利害关系方之要求与期盼，包括法令及相关协议之要求。
5. 资讯安全管理之操作，须依本管理系统所订定之各项作业规范，落实执行。
6. 当系统或程序进行变更时，不得影响既定之资讯安全承诺与协议。
7. 本公司资讯安全管理系统，理当持续改善与精进。

特定主题政策

为能有效支持上述高阶政策之展开，本公司订定「特定主题政策」(Topic-Specific Policies) 如下，以能接续相对应之控件目或措施：

1. 确实执行访问控制管理。
2. 有效执行重要资讯屏蔽。
3. 贯彻实体及环境安全管控，含重要区域之监控。
4. 进行资讯资产管理。
5. 确保资讯传输安全。
6. 安全配置及处理用户终端装置。
7. 执行网络安全管控。
8. 网络作业，须妥予执行监视活动。
9. 资讯安全事件管理。
10. 确实执行备份管理。
11. 执行密钥管理。
12. 妥善进行资讯分类及处理。
13. 定期实施技术漏洞管理。
14. 执行系统开发安全管控。
15. 须建立及执行云服务资讯安全管理机制。

2.2 控制措施

资讯安全管理涵盖4项控制措施，避免因人为疏失、蓄意或天然灾害等因素，导致资料不当使用、泄漏、窜改、破坏等情事发生，对本公司带来各种可能之风险及危害。控制措施依ISO27001 资讯安全系统附录A 的A.5-A.8，明细如下：

1. A.5 组织控制措施。
2. A.6 人员控制措施。
3. A.7 实体控制措施。
4. A.8 技术控制措施。

本公司之内部人员、委外服务厂商与访客皆应遵守本政策。

2.3 权责

1. 本公司资讯服务部负责拟定此政策，并呈管理阶层审查核准后实施。
2. 资讯安全管理者透过适当的标准和程序以实施此政策。
3. 所有人员和委外服务厂商均须依照相关安全管理程序以维护资讯安全政策。
4. 所有人员有责任报告资讯安全事件和任何已鉴别出之弱点，若因而防止可能发生之资讯安全威胁事件，得视情况予以适当奖励。
5. 任何危及资讯安全之行为，将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处。

3.1 资讯资产

系指为维持本公司资讯业务正常运作之人员、软件、硬件、数据、建筑保护与服务。

3.2 业务持续运作之资讯环境

系指为维持本公司各项业务正常运作所需之电脑作业环境。