3.安全組織（CC-13000，年度查核）
（1） 公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、
      監控及執行資訊安全管理作業，且相關人員之工作職掌與兼辦業務
      情形應符合規定。
（2） 公司應指定副總經理或高層主管人員，綜理資訊安全政策推動及資
      源調度事務，並得視需要，成立跨部門之「資訊安全推行小組」；
      如公司符合主管機關所訂一定條件者，應指定副總經理以上或職責
      相當之人兼任資訊安全長辦理上開業務。
（3） 公司應視資訊安全管理需要及所屬資安分級，指定專人或專責單位
      負責規劃與執行資訊安全工作，且資訊安全人員及主管每年應定期
      參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量。
      其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安
      全宣導課程。
（4） 公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學
      者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
（5） 資訊處理部門與業務單位之權責，應明確劃分。
（6） 公司應依其所屬資安分級要求資訊安全人員取得並維持相當資通安
      全專業證照。