財團法人證券投資人及期貨交易人保護中心財團法人證券投資人及期貨交易人保護中心

為確保財團法人證券投資人及期貨交易人保護中心（以下簡稱本中心）所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，並衡酌本中心之業務需求，特訂定資訊安全管理政策（以下簡稱本政策）。

本政策適用範圍為本中心之全體人員（包括員工、約聘僱人員、工讀生等）、委外服務廠商及人員與訪客等。

1. 3.1、資訊安全是本中心達成法定任務的要素之一，本中心需依法維護指定之必要資訊安全責任等級，以確保資訊資產的機密性、完整性與可用性。
2. 3.2、建立本中心業務永續運作計畫，以確保本中心業務服務之持續運作。
3. 3.3、確保本中心各項業務服務之執行須符合相關法令或法規之要求。
4. 3.4、定期實施資訊安全教育訓練，加強資訊安全政策宣導。

本中心成立資訊安全委員會統籌資訊安全事項推動。

1. 5.1、本政策至少應每年評估一次，以符合政府相關法令、技術、環境及業務等最新發展現況，確保維持營運和提供服務之能力。
2. 5.2、本中心應考量內、外部議題及利害相關者要求，訂定適當之資訊安全管理制度實施範圍，應定期或不定期視內、外部環境之變更或執行狀況，由資訊安全委員會討論，經本中心董事長審核、確認後實行。

1. 6.1、管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。
2. 6.2本中心全體人員、委外服務廠商及人員與訪客等皆應遵守本政策。
3. 6.3本中心全體人員及委外服務廠商及人員，均有責任透過適當通報機制，通報資訊安全事件或弱點。
4. 6.4任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本中心之相關規定進行議處。
5. 6.5本中心委外服務廠商應簽署保密協議，並遵守本政策以及相關程序之規定，未經授權不得使用本中心之各類資訊資產。

本中心將依業務性質，從機密性、完整性、可用性及適法性等方面考量，經董事長或其授權人員核可，制訂其資訊安全管理有效性量測表，利用量化指標之管理落實本政策。

本政策每年定期或因應時事變遷、法令修正等事由，予以適當修訂，並陳報資訊安全委員會討論後，經資通安全長檢視並簽報本中心董事長核定後公告實施，得以書面、電子、官網公告或其他方式通知同仁、與本中心連線作業之有關機關（構）及提供資訊服務之廠商，修正時亦同。