各服務事業符合一定條件者，應指派副總經理以上或職責相當之人兼任資
訊安全長，綜理資訊安全政策推動及資源調度事務；其一定條件，由主管
機關定之。
各服務事業應配置適當人力資源及設備，進行資訊安全制度之規劃、監控
及執行資訊安全管理作業。主管機關得視服務事業規模、業務性質及組織
特性，命令設置資訊安全專責單位、主管及人員。
各服務事業每年應將前一年度資訊安全整體執行情形，由資訊安全長或負
責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具第二十四條
規定之內部控制制度聲明書，於會計年度終了後三個月內提報董事會通過
。
各服務事業負責資訊安全之主管及人員，每年應至少接受十五小時以上資
訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員，每年應
至少接受三小時以上資訊安全宣導課程。
證券商業同業公會、期貨業商業同業公會及中華民國證券投資信託暨顧問
商業同業公會應訂定並定期檢討資訊安全自律規範。