資訊安全政策
1. 目的
安永金融科技股份有限公司 (以下簡稱本公司) 為強化資訊安全管理,確保本公司資訊資產之機密性,完整性及可用性。以提供本公司業務持續運作所需之資訊環境與架構,並符合相關法規之要求,避免遭受內部,外部蓄意或意外事件影響,特制定此政策 (以下簡稱本政策),作為本公司資訊安全管理系統 (以下簡稱 ISMS ) 的最高指導原則。
2. 目標
本公司資訊安全目標為:「確保重要資訊及服務之機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 與遵循性 (Compliance)」。
並依各階層與職能定義及量測資訊安全績效之量化指標,以確認 ISMS 實施狀況及是否達成資訊安全目標。
3. 適用範圍
本公司考量內部及外部議題、關注方之需要及期望,以及本公司活動與其他組織活動間之介面及相依性,本政策及 ISMS 適用範圍為:GOSU BAR 故事吧 之軟體開發、營運及作業環境,包括:實體辦公室區域、雲端系統、開發人員、軟體、營運資料、系統管理單位及相關作業流程。
4. 對象與責任
- 所有與本公司適用範圍內之內部人員、服務供應商及訪客等,應遵循本政策及 ISMS 各項程序。
- 任何危及資訊安全之行為,將視情節輕重追究其法律及行政責任或依本公司相關規定懲處。
5. 涵蓋內容
為支持及達成本政策,本公司制定以下特定主題規範,據以實施及定期評估實施成效:
- 資安組織及管理審查程序
- 文件與記錄管理
- 資安目標與績效評量
- 風險管理
- 資訊安全內部稽核
- 持續改善
- 人力資源安全管理
- 資產管理
- 存取控制管理
- 實體與環境安全管理
- 運作安全與密碼學
- 通訊安全管理
- 系統獲取、開發與維護管理
- 供應商管理
- 資訊安全事故管理
- 營運持續管理
- 遵循性管理
6. 組織與權責
為確保 ISMS 能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。
7. 實施原則
ISMS 之實施應依據規劃 (Plan)、執行 (Do)、查核 (Check) 及改善 (Act) 流程模式,以週而復始、循序漸進的精神,確保 ISMS 運作之有效性及持續改善。
8. 審查與評估
- 本政策應於重大變更或至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部門等最新發展現況,確保資訊安全作業之有效性。
- 本政策應依據審查結果進行修訂,並經本公司資安管理委員會召集人簽核發佈後始生效。
9. 溝通或傳達
本公司 ISMS 文件 (包含本政策) 制定或修訂後,應以網站公告、電子郵件、通訊軟體、文件管理系統、會議或其他可溝通或傳達方式,告知或與內外部關注方溝通,如:內部員工、客戶、合作夥伴、供應商等。
發布日期 2023/11/16 版本 V1.0