一、目的
臺中市政府研究發展考核委員會(以下簡稱本會)資訊相關系統設備除提供內部人員作業處理外，亦透過電腦網路提供與市民互動之溝通管道，其相關資通系統作業應用之持續性運作，攸關本會形象及業務推動，故訂定本資通安全管理政策，作為資通安全工作之指導方針，藉以降低資通風險。
二、適用範圍
本會所有單位，及往來委外廠商均應遵守資通安全管理政策。
三、依據
(一)、ISO/IEC 27001:2013(Information technology — Security techniques — Information security management systems — Requirements)。
(二)、ISO/IEC 27002:2013(Information technology — Security techniques — Code of practice for information security management)。
(三)、CNS 27001:2014 資訊技術－安全技術－資訊安全管理系統－要求事項。
(四)、CNS 27002:2014 資訊技術－安全技術－資訊安全管理之作業規範。
(五)、資通安全管理法及相關子法。
四、資通安全管理政策
為確保資訊系統安全及建立可信賴之環境，相關使用者需經過正常程序之申請授權，方能閱讀或存取授權範圍內之機敏資訊，期間並保障資訊於處理、傳輸、儲存之過程中皆能正確無誤之使用，及避免資訊與系統被無意或惡意之竄改或變更，並確保智慧財產權及個人資料都能得到妥適的保護，避免不當的使用。以簡單易記且符合資訊安全管理目標為原則，訂定資訊安全政策聲明兩大方向：
(一)、確保系統可用性，強化資安防護力，持續更新並精進，資安不能靠運氣。
(二)、機密資料保護好，完整正確不可少，持續服務為首要，養成習慣沒煩惱。
五、目標
資訊安全目標之核定應參考資通安全政策，每年於管理審查會檢討及議定下年度之目標。
六、組織內傳達
為使本會之政策、需求及目標能有效地傳達到與業務相關之關注方，將利用媒體、函文、會議、網頁、電子郵件及文宣等途徑，進行彼此關注議題討論及溝通，於必要時得邀請相關人員參與，並留存紀錄做為後續之依據。
七、持續改善之承諾
本政策每年應至少於管理審查會議時評估檢討，以反映本會資通安全需求、政府法令法規、外在網路環境變化及資通安全技術等最新發展現況，以確保其對於維持營運和提供適當服務的能力。本政策如遇重大改變時應立即審查，以確保其適當性與有效性。必要時應告知與業務相關之關注方，以利共同遵守。