資訊安全政策:
1.設定資通安全目標之框架,並建立方向之整體意識及關於資訊安全之各項行動原則。
2.考量營運與法律或法規要求,以及契約的安全義務。
3.與組織的策略性風險管理全景相校準,ISMS在此全景中建立及維持。
4.建立可藉以評估風險之準則。
5.本願景與資訊安全政策由管理階層所核准,並公布傳達給所有員工與相關各外部團體。
6.針對重要資訊資產定期進行資訊與軟體的備份與測試。
7.保護所使用通訊設施的資訊交換。
8.保護與營運資訊系統互連有關的資訊。
9.基於存取的營運與安全要求,建立、文件化及審查存取控制。
10.本局資訊室需針對紙本媒體與可移除式儲存媒體做到桌面淨空,及針對螢幕做到螢幕淨空。
11.實作網路選路控制,以確保電腦連線與資訊流未違反企業應用系統之存取控制。
12.採取適當的安全措施,以防範使用行動計算與通信 設施的風險。
13.發展與實作遠距工作活動的控制。
14.使用密碼控制措施以保護資訊。
