本公司訂定政策與施行措施，需考量下列項目：

• 確保本政策適合組織營運目的
• 所需配置之人員、預算、設備技術與程序表單。
• 活動或事項負責人員。
• 活動或事項預計完成時間。
• 管理目標是否達成之評估方式。
• 適用的相關要求(如法規)之合規性。

組織與權責：

為確保資訊安全管理系統能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

• 本公司成立資訊安全組織統籌資訊安全事項推動。
• 管理階層應積極參與及支持資訊安全管理制度，並授權資訊安全組織透過適當的標準和程序以實施本政策。
• 本公司全體人員、委外服務廠商與訪客等皆應遵守相關安全管理程序以維護本政策。
• 本公司全體人員及委外服務供應商均有責任透過適當通報機制，通報資訊安全事件或弱點。
• 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行議處。

資訊安全管理制度：

依據ISO/IEC 27001指導規範之『規劃（Plan）—執行（Do）—查核（Check）—持續改善（Act）』循環模式，以週而復始、循序漸進的精神， 確保資訊安全之有效性及持續性，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生， 對本公司帶來各種可能之風險及危害。以達到持續改善資訊安全管理制度的目標，管理內容依據「MS-01-02_資訊安全手冊」之相關規定辦理。

AI人工智慧應用管理制度：

為確保本公司於導入或員工使用人工智慧（AI）技術時，符合資訊安全管理體系之要求並降低相關風險，特訂定以下原則：

• 本公司採用任何AI系統、模型或服務前，應進行資訊安全與隱私風險評估，並納入既有之風險管理流程。
• 禁止於未經授權之AI工具或應用中輸入、上傳或分享公司內部機密資料、個人資料或客戶資訊。
• AI相關工具與模型之使用，須經資訊安全管理委員會審查與核准後方可導入。
• 若AI系統之輸出結果涉及決策、對外溝通或公開資訊，應經人工審核與驗證，以確保其準確性與合規性。
• 管理階層應定期檢討AI治理相關政策與實施成效，並視技術或法規變動進行修訂。
• 全體員工應接受AI使用安全與倫理教育訓練，確保了解相關責任與遵循事項。
• 帳號與權限管理應依據「MS-03-06_存取控制作業規範」辦理。
• AI系統使用紀錄（帳號、使用時間、操作內容）應完整保存，保存規定依據「MS-03-02_作業安全作業規範」辦理。

目標：

本公司資訊安全目標為確保核心系統管理業務(意即ISO 27001驗證範圍內活動)之機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）與法遵性（Compliance）。並依各階層與職能定義及量測資訊安全績效之量化指標，以確認ISMS實施狀況及是否達成以下資訊安全目標：

【守護數據，鞏固系統】
【資訊安全，人人有責】
【快速應對，持續改進】
【識別風險，確保合規】

• 本政策經「資安管理委員會」核定後實施，修訂時亦同。
• 本政策應每年至少審查乙次，以反映本公司資訊安全需求、政府法令法規、外在網路環境變化、技術及資訊業務等最新發展現況及關注方之關注議題， 以確保本公司資訊安全管理制度之運作並維持營運和提供適當服務。
• 本政策如遇重大改變時應立即審查，以確保其適當性與有效性。必要時應告知相關單位及委外廠商，以利共同遵守。

本政策經「資安管理委員會」核准後於公告日施行，並以適當方式（例：書面、電子檔、網站公告或其他方式）告知利害關係人，如：本公司所屬職員、供應商、稽核人員、與本公司連線作業之有關機關（構）、委外廠商，修正時亦同。