2.資訊安全政策（CC-12000，年度查核）
 (1)公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、資訊
    作業之安全水準。
 (2)制訂資訊安全政策，應包括下列事項：
    a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
    b.資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工應遵
      守之相關規定。
    c.推行資訊安全工作之組織、權責及分工。
    d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。
 (3)公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布要求
    所有員工共同遵守，並轉知與公司連線作業之公私機關（構）、提供
    資訊服務之廠商共同遵行。
 (4)公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規章、
    技術及業務等最新發展現況，確保資訊安全實務作業之有效性，前開
    之評估工作應留存相關紀錄。
 (5)資訊安全政策之評估，應以獨立及客觀之方式進行，並由內部或委託
    外部專業機構辦理。
 (6)公司每年應將前一年度資訊安全整體執行情形，由負責資訊安全之最
    高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行情形
    聲明書，並提報董事會通過，於會計年度終了後三個月內將該聲明書
    內容揭露於公開資訊觀測站。