為確保公司資訊安全，資訊室於網路端向中華電信申租入侵防護服務，阻絕網路型病毒及入侵攻擊，內部防火牆建置，阻擋病毒及入侵攻擊於公司內部網路，用戶端部分，透過Windows Update Services Server，自動將Windows Update更新派送至用戶端，修補用戶端Windows漏洞，防止病毒與駭客透過Windows漏洞，進行攻擊。

一、目的
為確保本公司軟體、設備及網際網路之安全，特訂定此資訊安全管理政策，作為本公司全體員工遵循資訊安全之依據。

二、定義
經由適當的系統規劃、程序規範及行政管理，以防範來自內、外部的威脅，達到維護資訊系統安全的目的。

三、目標
避免資訊系統遭受來自內、外部不當使用或蓄意破壞，當已遭受不當使用、蓄意破壞等緊急事故時，公司能迅速應變處置，降低該事故可能帶來之經濟損害及營運中斷。

四、範圍
適用於本公司所有資訊系統及其使用者。

五、組織
由資訊室負責統籌資訊安全及相關事宜，並由稽核室擬定相關內部控制程序管理及定期進行內部稽核。

六、程序
(一)人員資安意識及訓練
資訊室需經常實施資訊安全教育訓練及宣導，以提高人員對資訊安全之認知及意識。

(二)資訊系統安全管理

1. 電腦主機、各伺服器等設備應設置於專用機房，由資訊室負責管理，未經授權不可隨意進入，機房無人在場時，應處於上鎖狀態。
2. 個人電腦及各項周邊設備等應依業務性質及場地空間等因素做妥適的配置，並應連接不斷電系統以確保供電穩定。
3. 主要設備維護及運作狀況應做成紀錄。
4. 各部門需使用經授權之合法軟體，非經合法授權及與業務無關之軟體，不得安裝使用。
5. 定期執行資料備援回復作業，備援媒體應異地存放於安全之環境，以確保資料完整可用。

(三)  網路安全管理

1. 與外部網路連接之網點，應以防火牆及其他安全設施。
2. 安裝企業版之防毒軟體，建置入侵偵測等防駭軟體以保護公司資訊系統免受病毒感染及惡意軟體或駭客入侵。
3. 網路如發現有被入侵或有疑似被侵入情形，需通知資訊室進行相關處理，必要時採取法律行動。

(四)  系統存取控制

1. 使用者新進、調整職務及離（停）職時，應以書面通知資訊室執行使用者之新增、調整或刪除其使用權限，確保系統安全。
2. 資訊系統皆必須設定通行密碼，使用者密碼應符合安全原則，並定期更改通行密碼。
3. 人員暫時離開時應將電腦鎖定，不使用電腦設備時，必須完全登出。
4. 資訊室定期進行自主性查核。

(五)  資訊系統發展及維護之安全管理

1. 系統之開發建置、維護、更新、上線執行及版本異動作業，應予安全管制。
2. 對廠商之系統建置及維護人員，應規範及限制其可接觸之系統與資料範圍。
3. 程式和系統權限修改需填寫申請單，由資訊室人員或顧問執行。

(六)  業務永續運作計畫之規劃與管理

1. 如發生資訊安全事件，致資訊系統無法運作或影響執行效率時，應迅速通報單位主管及資訊室人員。
2. 資訊室定期評估資安風險造成損失之可能性，必要時投保適當之保險以降低損失金額。