財團法人證券投資人及期貨交易人保護中心
資訊安全管理政策

1. 目的
為確保財團法人證券投資人及期貨交易人保護中心（以下簡稱本中心）所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本中心之業務需求，特訂定資訊安全管理政策（以下簡稱本政策）。

2. 範圍
本政策適用範圍為本中心之全體人員（包括員工、約聘僱人員、工讀生等）、委外服務廠商及人員與訪客等。

3. 目標
3.1資訊安全是本中心達成法定任務的要素之一，本中心需依法維護指定之必要資訊安全責任等級，以確保資訊資產的機密性、完整性與可用性。
3.2建立本中心業務永續運作計畫，以確保本中心業務服務之持續運作。
3.3確保本中心各項業務服務之執行須符合相關法令或法規之要求。
3.4定期實施資訊安全教育訓練，加強資訊安全政策宣導。

4. 權責
本中心成立資訊安全委員會統籌資訊安全事項推動。

5. 審查
5.1本政策至少應每年評估一次，以符合政府相關法令、技術、環境及業務等最新發展現況，確保維持營運和提供服務之能力。
5.2本中心應考量內、外部議題及利害相關者要求，訂定適當之資訊安全管理制度實施範圍，應定期或不定期視內、外部環境之變更或執行狀況，由資訊安全委員會討論，經本中心董事長審核、確認後實行。

6. 資訊安全責任
6.1管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。
6.2本中心全體人員、委外服務廠商及人員與訪客等皆應遵守本政策。
6.3本中心全體人員及委外服務廠商及人員，均有責任透過適當通報機制，通報資訊安全事件或弱點。
6.4任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本中心之相關規定進行議處。
6.5本中心委外服務廠商應簽署保密協議，並遵守本政策以及相關程序之規定，未經授權不得使用本中心之各類資訊資產。

7. 資訊安全管理指標
本中心將依業務性質，從機密性、完整性、可用性及適法性等方面考量，經董事長或其授權人員核可，制訂其資訊安全管理有效性量測表，利用量化指標之管理落實本政策。

8. 實施
本政策每年定期或因應時事變遷、法令修正等事由，予以適當修訂，並陳報資訊安全委員會討論後，經資通安全長檢視並簽報本中心董事長核定後公告實施，得以書面、電子、官網公告或其他方式通知同仁、與本中心連線作業之有關機關（構）及提供資訊服務之廠商，修正時亦同。