3.安全組織（CC-13000，年度查核）
 (1)公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、監
    控及執行資訊安全管理作業，且相關人員之工作職掌與兼辦業務情形
    應符合規定。
 (2)公司應指定副總經理或高層主管人員，負責資訊安全管理事項之協調
    及推動，並得視需要，成立跨部門之「資訊安全推行小組」，統籌資
    訊安全政策、計畫、資源調度等事項之協調、研議。
 (3)公司應視資訊安全管理需要，指定專人或專責單位負責規劃與執行資
    訊安全工作，且每年應定期參加十五小時以上資訊安全專業課程訓練
    或職能訓練並通過評量。其他使用資訊系統之從業人員，每年應至少
    接受三小時以上資訊安全宣導課程。
 (4)公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學者
    專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
 (5)資訊處理部門與業務單位之權責，應明確劃分。