為保護京城商業銀行(以下簡稱本行)資訊資產之機密性、完整性與可用性，避免遭受不當使用、洩漏、竄改或破壞等風險，確保資訊蒐集、處理、傳送、儲存及流通之安全，特訂定資訊安全政策(以下簡稱本政策)，以資遵循。

本政策適用於本行全體員工、委外服務廠商及訪客。

1. 資訊安全政策之訂定及審查。
2. 資訊安全組織。
3. 人力資源安全管理及教育訓練。
4. 資訊資產之分類及管理。
5. 存取控制安全。
6. 加密控制措施。
7. 實體及環境安全。
8. 作業安全管理。
9. 通訊安全管理。
10. 系統開發及維護之安全。
11. 供應商安全管理。
12. 資通安全事件管理。
13. 營運持續運作管理。
14. 相關法規、法令及政策之遵循性。

1. 應成立資訊安全組織，統籌資訊安全事項推動，並至少每年定期召開管理審查會議乙次，或視需要不定期召開。
2. 由資訊安全長負責綜理資訊安全政策推動及資源調度事務。
3. 資訊安全由風險管理部資訊安全科(資訊安全專責單位)負責推動、資訊室負責執行，並由稽核室負責查核推動執行情形。
4. 由風險管理部資訊安全科負責資訊安全整體執行情形之管理，並每年向董事長呈報執行概況後，協助稽核室將呈報結果提報董事會。

1. 管理階層應積極參與及支持資訊安全管理制度，並提供適當之資源。
2. 全體員工、委外服務廠商及訪客，皆應遵守本政策，並有責任透過適當通報機制，通報資通安全事件或弱點。
3. 任何危及資訊安全之行為，依本行之相關規定進行議處，必要時得視情節輕重追究其民事及刑事責任。

為評量資訊安全管理目標達成情形，本行應訂定相關管理指標，並監控、評估及改善。

1. 本政策應由風險管理部資訊安全科每年至少檢視一次，或於發生重大變動時重新檢視，以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。
2. 應識別本行內外部利害關係人及其回饋事項，並列入管理審查會議之討論議題。

本政策若有未盡事宜，悉依主管機關之相關法規及本行之規定辦理。

本政策經董事會核定後施行；修訂時授權董事長核定。