一、目的：
本局為確保主要輔助資通系統、系統資料、設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險，並建立資通安全管理體系，特訂定資通安全政策(以下簡稱本政策)，本政策未規定事項依政府其他相關資通安全法規辦理，以符合資通系統之機密性、完整性、可用性與法律遵循性。

二、政策聲明：
本局之資通安全政策，包含資通安全管理政策和資通安全防護措施政策二個部分：
(一)資通安全管理政策
    1.強化人員知能，避免資料外洩。
    2.落實日常維運，確保服務可用。
(二)資通安全防護措施政策
    1.移動式儲存媒體管理政策：定期更新行動式儲存裝置清冊，儲存時採加密儲存，並實施宣導。
    2.遠距工作管理政策：外部網路連接本局網路與資訊服務運作環境，應先經核准。
    3.存取控制政策：使用者僅能存取和其工作相關之資訊系統與資訊；特權限使用者，應限制存取權限。
    4.加密管理政策：機密等級為「限閱」之資料類之電子資訊資產，於進行傳輸或儲存時，皆應有保護措施。
    5.金鑰管理政策：使用之金鑰，每年應定期審查金鑰的有效性。金鑰生命週期之管理，應由專人管理。
    6.螢幕保護與桌面淨空政策：電腦閒置15分鐘螢幕保護程式自動進入保護狀態。人員離座應將桌面淨空。
    7.備份政策：可用性為「高」之資料類資訊資產，應擬定備份計畫，並進行備份作業、保存及還原測試。
    8.資訊傳輸政策：「限閱」之資料類資產應設定保護機制；與外部團體資訊交換或傳輸，應申請並核准後方能傳輸。
    9.安全開發政策：本局無自行開發資通系統。
   10.委外廠商資通安全管理政策：建立專案之資通安全管理需求，實施必要之管理與稽核活動，確保符合專案需求。

三、目標：
本局之資通安全管理目標為「在合於法令、法規與合約要求條件下，確保資訊資產的機密性、完整性與可用性，提供持續可用之資訊服務。」

四、適用範圍：
ISMS管理適用範圍：全組織。