四、資訊安全政策
秉持以精益求精、不斷革新之精神，為提供優質服務而努力，強化資訊安全管理，確保資料、系統、設備、網路，部署安全防護技術，落實推動資訊安全管理作業，以達到資產之機密性、完整性及可用性之保護。建立資訊安全政策如下：
1、機敏資訊管控，防範非法存取。
2、確保資訊完整，嚴禁竄改作業。
3、業務永續營運，維持服務可用。

五、資訊安全目標
1、保障機敏資訊機密性，防止非法授權存取作業。
2、確保資訊使用完整性，禁止未經授權資訊竄改。
3、維持營運業務可用性，確保營運業務服務水準。
4、確保資安措施符合政策及法令要求。

六、管理階層責任
管理階層應完成下列工作，以充分表示對資訊安全管理發展及增進的支持：
1、核定資訊安全政策，確立資訊安全目標及計畫。
2、授權資通安全處理小組或相關職掌單位，執行資訊安全作業。
3、覆核資訊安全管理體系稽核與執行成果。
4、核定可接受風險水準。
5、提供資訊安全管理體系運作必要資源。

七、審查
1、本政策應每年至少審查1次，以反映政府法令、技術及業務等最新發展現況，確保業務永續運作之能力。
2.、應考量內、外部議題及利害相關者要求，訂定適當之資訊安全管理系統實施範圍，經由管理階層審核、確認後實行。
3.、資訊安全管理系統實施範圍應定期或不定期視內、外部環境之變更或執行狀況，如：法令法規之要求、組織異動、資安事件發生、管理制度落實狀況等因素，經由權責主管人員或資訊管理審查會議核定後實行。

八、法令規章遵循性
1、資訊安全，人人有責。
2、本政策應遵循法律、法規及合約的要求。
3、實施資訊安全教育訓練，以加強員工認知安全意識，資安教育訓練由水文課或協同其他單位共同辦理。
4、執行各項資訊作業時，應依「資通安全管理法」及其相關子法、「個人資料保護法」及相關法令規定辦理，並遵守本分署各項規範及與第三方簽訂之契約。
5、本分署之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件，本分署資通安全處理小組應在最短期間內訂定應採行應變措施，並將處理情形記錄備查。
6、本分署人員違反資訊安全規定者，依「資通安全管理法」及其相關子法、「經濟部及所屬機關公務人員獎懲標準表」辦理。有「公務員懲戒法」第2條所定情事，應付懲戒者，依該法第24條規定辦理；有觸犯「刑法」之嫌疑者，應予移送司法機關調查；有涉及國家賠償事件者，應依「國家賠償法」等相關法律追究損害賠償責任。非本分署人員違反資訊安全規定時，亦應依相關法律規定追究民刑事責任。

九、適用性聲明書
資訊安全管理系統（ISMS）依據ISO27001標準要求產出適用性聲明書，以書面方式列舉資訊資產是否適用其標準所列之控制措施，對不適用者應說明其不適用之原因。

十、修訂與實施
本政策應由本分署因組織、業務、法令或環境等因素之改變，予以適當修訂，並須經首長簽核後實施，透過公告程序，使本分署同仁及相關人員瞭解資訊安全政策之相關規定。