0.目的
水利署為強化資通安全管理暨落實個人資料之保護，建立安全及可信賴之資訊環境，確保資訊資產免於遭受內部或外部、蓄意或意外之威脅與破壞，特訂定本政策。
1.依據
本政策係依據「資通安全管理法」及其子法、並參酌經濟部「資訊安全政策」、國家發展委員會「個人資料保護法」等有關法規，以及ISO27001標準，同時考量業務需求而訂定，以建立資通安全管理機制、強化資通安全防護、加強個人資料安全防護，提昇資通安全之水準。
2.範圍
資訊安全管理系統(ISMS)之實施範圍，涵蓋水利署所有員工(含約聘人員、臨時人員)、委外駐點處理資通業務之人員、委外廠商、第三方資訊使用人員，並包括所轄管之網路及機房維運，核心資通系統之開發、維護、操作，及其所有相關資訊資產之安全管理。
3.資通安全政策
水利署一貫秉持以精益求精、不斷革新之精神，為提供優質服務而努力，以期建立安全及可信賴之電子化政府。因此，特強化資通安全管理，確保資料、系統、設備、網路及個人資料安全，部署創新的資通安全防護技術，以落實推動資通安全管理作業，並達到保護資訊資產之機密性、完整性及可用性等目標。
4.資通安全目標
4.1質化目標
保護資訊之機密性、完整性及可用性，包括：
4.1.1保障資訊之機密性，防止非法或未經授權存取。
4.1.2確保資訊之完整性，防止非法或未經授權修改。
4.1.3確保業務之可用性，以維持業務運作之持續可用。
4.1.4確保資安措施符合政策及法令要求。
4.2量化目標
4.2.1核心資通系統帳號權限清查正確率100%。
4.2.2核心資通系統服務中斷不得超過24小時/年。
4.2.3應通報而未通報之資安事件不得發生（包含逾期通報）。
5.管理階層責任
管理階層應完成下列工作，以充分表示對資通安全管理發展及增進的支持：
5.1核定資通安全政策，確立資通安全目標及計畫。
5.2授權資通安全推動小組或相關職掌單位，執行資通安全作業。
5.3核准稽核計畫與覆核執行成果。
5.4核定可接受風險水準。
5.5提供資訊安全管理系統(ISMS)運作必要資源。
6.審查
6.1本政策應每年至少審查1次，以反映政府法令、技術及業務等最新發展現況，確保業務永續運作之能力。
6.2應考量內、外部議題及利害相關者要求，定訂適當之資訊安全管理系統(ISMS)實施範圍，經由管理階層審核、確認後實行。
6.3資訊安全管理系統(ISMS)實施範圍應定期或不定期視內、外部環境之變更或執行狀況，如：法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素，經由權責主管人員或資通管理審查會議核定後實行。
7.法令規章遵循性
7.1資通安全，人人有責。
7.2本政策應遵循法律、法規及合約的要求。
7.3實施資通安全教育訓練，以加強員工認知安全意識。
7.4執行各項資通作業時，應依「資通安全管理法」及其子法、「個人資料保護法」及相關法令規定辦理，並遵守其他各項規範及與第三方簽訂之契約。
7.5發生資通安全事件時，應依「ISMS資訊安全事件通報及處理程序書」進行通報。資通安全推動小組應在最短期間內訂定應採行應變措施，並將處理情形記錄備查。
7.6人員違反資通安全規定者，依「資通安全管理法」及其子法、「經濟部暨所屬經建人員獎懲標準表」辦理。有「公務員懲戒法」第2條所定情事，應付懲戒者，依該法第19條規定辦理；有觸犯「刑法」之嫌疑者，應予移送司法機關調查；有涉及國家賠償事件者，應依「國家賠償法」等相關法律追究損害賠償責任。外部人員違反資通安全規定時，亦應依相關法律規定追究民刑事責任。
8.修訂與實施
本政策應至少每年1次或因組織、業務、法令或環境等因素之改變，予以適當修訂，須經資通安全管理審查會議審查後實施，並透過公告程序，使同仁及相關人員瞭解資通安全政策之相關規定。