1.資訊安全政策目的 :

確保所有公準員工及第三者，了解保障公準商業資訊的重要性。
保護資訊，避免未經授權的資料被存取，外洩，遺失或誤用。 商業資訊分類定義。

2. 架構

資訊安全政策架構，有兩份核心文件

資訊安全政策
資訊安全控制
包含了 IT 標準，方針，基準。作為協助並引導業務的解釋及實施政策所需。

3. 組織

公準組織，員工及第三者，存取或處理公準資訊，必需遵守資訊安全政策。
管理階層應依權責訂定企業活動所需之資訊安全要求。
組織內各部門應訂定資訊安全計畫，管理階層應依據資訊安全政策架構，負 責展開此資訊安全計畫。

4. 資訊資產分類及控制

公準依據它的業務需要，將資訊列為公司資產，必須加以保護，以防止遺失 的可能性，並且防止侵犯其完整性和保密性。
部門主管應導入資訊安全風險評鑑，以鑑別資訊資產，及透過安全再評鑑， 定期檢查安全層級。
適用時，資訊的擁有者應指定保護資訊完整性及可用性的需求。
分類資訊的擁有者，應指明資訊分類的等級，及分類的有效期限。
公準員工及第三者在處理公準資訊資產時，應負責盡力保護資訊安全。
對依據公準資訊安全政策所展開的資訊安全指導方針，指示及程序，進行監 測，以確保資訊安全指導方針，指示及程序有被各階層執行及管理。

5. 資訊分類(classification and categorization)

資訊分類，具有重要的公司資料記錄的處理，被區分為兩類。
公司機密性
公司極機密性 (或敏感性)

6. 認知

管理階層必須確保公準員工及第三者瞭解他們有責任來保護資訊資產。
必須積極鼓勵公準員工及第三者去認知他們在預防違反資訊安全事件上所扮 演的重要角色，並負起責任。

7. 實體與環境安全(Physical and environmental security)

管理階層將界定一個維持特定等級的實體安全區域。
只有被授權特定目的訪客，才可被允許進入該安全區域。他們必需隨時被監視。

8. 系統存取控制

資訊擁有者負責同意存取資訊資產或授權給其他人。
資訊的處理及保存的安全性措施，必須是相稱於分類的等級。
為了責任歸屬的目的，每位共用設施的使用者，應能夠被個人用戶識別工具 辨識為唯一。

9. 營運持續(Bussiness Continuity)

各部門主管必須建立一個實際和均衡的永續計劃。

10. 違反或事故報告

資訊安全違反或事故，應立即向管理階層報告。

11. 政策法規遵行 (Compliance)

公準資訊資產之處理，必須遵循國家資料保護法或適用的法律要求。