Information Security Policy資訊安全政策

發行日期 2025.03.03 ver3.0
一、資政策聲明

本公司承諾建立、實施、維護並持續改進資訊安全管理系統 (ISMS),以保護本公司為客戶提供網頁系統開發服務、內部原始碼管理、測試環境維護、專案管理及相關支援活動所涉及的資訊資產,確保其機密性 (Confidentiality)、完整性 (Integrity) 與可用性 (Availability)。

本公司理解資訊安全是業務成功的基石,更是對客戶信任的承諾。本政策旨在建立資訊安全文化,確保所有員工、承包商及相關方均能理解並履行資訊安全責任。

二、目的

本政策旨在:

  1. 確立本公司資訊安全管理的整體方向與原則。
  2. 符合 ISO 27001:2022 國際標準及台灣資通安全管理法等相關法律法規要求。
  3. 明確本公司在資訊安全方面的角色、責任及期望。
  4. 保護公司知識產權、客戶資料及營運資訊免受威脅。
  5. 應對不斷變化的資安威脅情資,持續提升資安防禦能力。
三、適用範圍

本政策適用於本公司辦公室及相關作業環境,包括為客戶提供網頁系統開發服務、內部原始碼管理、測試環境維護、專案管理及相關支援活動所涉及的所有資訊資產、流程與人員。

重要責任區分:

本公司 ISMS 主要關注於開發過程、原始碼安全、測試環境安全及本公司內部營運的資訊安全。客戶端生產環境(包括客戶伺服器維護、網路安全、實體安全、作業系統管理、客戶資料保護等)的資訊安全責任歸屬於客戶,本公司僅負責提供安全的程式碼與部署指引。本政策不涵蓋客戶端生產環境的資訊安全管理。

四、資訊安全目標

本公司將致力達成以下資訊安全目標:

  1. 政策與制度持續優化:確保資訊安全政策與相關 ISMS 文件能持續反映最新的資訊安全管理實務、法律法規與公司業務需求。
  2. 核心資產安全與保護:致力於保護本公司核心資訊資產的機密性、完整性與可用性,防範未經授權的存取。
  3. 員工資安意識與技能提升:強化全體員工的資訊安全意識與技能,確保其充分理解並遵守公司資訊安全政策與程序。
  4. 安全開發與產品交付:將資訊安全考量整合至網頁系統開發生命週期 (SDMC) 的各階段,確保交付給客戶的程式碼具有內建安全性,並符合相關安全標準。
  5. 資安事件有效應變與學習:建立並維持有效的資訊安全事件通報與應變機制,將資安事件的影響降至最低,並從中學習以持續改進防禦能力。

本公司將制定具體的資訊安全年度目標與衡量指標,透過年度管理審查會議進行確認與審視目標。

五、資訊安全原則

為達成上述目標,本公司將遵循以下原則:

  1. 管理階層承諾與支持 (A.5.4): 管理階層將持續投入資源,支持 ISMS 的實施與運作,並監督其有效性。
  2. 角色與責任明確 (A.5.2): 明確定義所有員工的資訊安全角色、職責及義務。
  3. 風險導向思維: 識別、評估並處理資訊安全風險,確保控制措施的有效性與適當性。定期關注威脅情資 (A.5.7) 以應對新興風險。
  4. 職務區隔 (A.5.3): 於關鍵流程中實施職務區隔,降低潛在的利益衝突或舞弊風險。
  5. 資產管理與分類 (A.5.9, A.5.12): 建立並維護資訊資產清冊,對資訊進行分類分級與標示,並規範其可接受使用方式 (A.5.10),確保適當保護。所有關鍵資訊資產應建立並維護安全組態基準,任何變更應受管制。
  6. 存取控制與身分管理 (A.5.15, A.5.16, A.5.17, A.5.18): 實施基於最小權限原則的存取控制,確保只有授權人員才能存取所需的資訊資產。
  7. 供應商關係管理 (A.5.19, A.5.20, A.5.21, A.5.22, A.5.23): 評估並管理與所有供應商(包括雲端服務、ICT 供應鏈)的資訊安全風險,將資安要求納入合約。
  8. 安全開發生命週期 (A.8.25): 將資訊安全考量整合至軟體開發的每個階段,從需求分析、設計、編碼、測試到部署,確保產品的內建安全。
  9. 變更管理 (A.8.32): 對於內部系統、開發工具、測試環境及原始碼的任何變更,均實施受控的變更管理流程。
  10. 事件管理與學習 (A.5.24, A.5.25, A.5.26, A.5.27, A.5.28): 建立健全的資安事件管理機制,包括事件通報、評估、回應、從中學習並蒐集證據。
  11. 業務持續性 (A.5.29, A.5.30): 確保在業務中斷期間,資訊安全控制措施依然有效,並保障內部 ICT 系統的恢復能力。
  12. 隱私與個人資料保護 (A.5.34): 嚴格遵守台灣個人資料保護法,保護客戶與員工的個人資料隱私。
  13. 智慧財產權: 組織承諾保護其自身及第三方的智慧財產權,並遵守相關法律法規(A.5.31)。
  14. 持續改進: 透過定期內部審查 (A.5.35)、稽核 (A.5.36) 和管理審查,識別改進機會,確保 ISMS 的持續適用性與有效性。
六、責任與義務
  1. 高層管理層的責任
    高層管理層應確保公司資訊安全政策與企業整體戰略相符,並提供足夠的資源來支持資訊安全管理工作。高層管理層還應確保資訊安全管理系統(ISMS)的適用性、完整性及持續改進。
  2. 資訊安全負責人的責任
    資訊安全負責人(CISO)應負責執行、監督並維護資訊安全管理體系,定期進行風險評估與資安事件管理,並確保員工進行適當的資安訓練。
  3. 員工的責任
    所有員工應遵守本公司資訊安全政策,並對公司資訊資產的保護負有個人責任。員工應及時報告資安事件、可疑活動或違規行為,並參與定期的資安意識培訓。
  4. IT部門與技術支援的責任
    IT部門負責維護所有技術設施(網路、伺服器、端點等)的安全運行,並定期進行安全測試、漏洞掃描與補丁管理。
  5. 第三方供應商的責任
    公司應確保所有第三方供應商符合本公司資訊安全標準,並定期進行外部審計和合規性檢查。
  6. 資安事件應變小組的責任
    資安事件應變小組應在發生資安事件時,立即根據應急計畫進行處置,並與相關部門合作進行事後分析與改善。
七、政策符合性與違規處理

所有員工、承包商及相關方均有責任遵守本政策。任何違反本政策的行為,將依照公司內部規章及相關法律法規,採取適當的紀律處分或法律行動 (A.6.4)。

八、政策審查

本政策應至少每年審查一次,或在發生重大組織變革、技術變更、法律法規更新或資安威脅情勢變化時,由管理階層適時更新,以確保其持續的適用性與有效性。