各服務事業符合一定條件者,應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安全政策推動及資源調度事務;其一定條件,由主管機關定之。
各服務事業應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。主管機關得視服務事業規模、業務性質及組織特性,命令設置資訊安全專責單位、主管及人員。
各服務事業每年應將前一年度資訊安全整體執行情形,由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具第二十四條規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事會通過。
各服務事業負責資訊安全之主管及人員,每年應至少接受十五小時以上資訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員,每年應至少接受三小時以上資訊安全宣導課程。
證券商業同業公會、期貨業商業同業公會及中華民國證券投資信託暨顧問商業同業公會應訂定並定期檢討資訊安全自律規範。