各會員公司辦理資訊安全作業，應至少遵循下列規定： 一、應要求所聘任之員工簽署資訊安全保密切結書、雇佣契約、工作手冊 ，明訂員工應遵守資訊安全保密協定。 二、有委外業務者，應於委外契約中明訂資訊安全保密協定。 三、應透過每年定期、適當之教育訓練或宣導，告知內部員工應遵循之資 訊安全規範。 四、管理階層應督導員工遵循公司既定之資訊安全規範。 五、員工職務異動時，應依既定程序辦理資訊資產退回與存取權限之變更 或取消。 六、應每年檢討資訊安全政策及資訊作業相關管理與操作規範，並於發生 重大變更（如新頒布法令法規）時審查，以持續確保其合宜性、適切 性及有效性。 七、應依據作業流程，識別人員、表單、設備、軟體、系統等資產，建立 資產清冊、網路架構圖、組織架構圖及負責人，並定期清點以維持其 正確性。 八、應定義人員角色及責任並區隔相互衝突的角色。