1. 目的 1.1. 本政策旨在建立本公司資訊安全管理系統（ISMS）的最高指導原則。透過系統化的管理框架，確保公司核心資訊資產的機密性、完整性與可用性，保護公司智慧財產與客戶託付的資料，並作為所有後續資安管理程序與作業的基礎。 2. 適用範圍 2.1. 本政策適用於本公司資訊安全管理系統所涵蓋之所有人員、業務活動、資訊資產及場域包括四項管理領域如下： 2.1.1. 組織控制措施。 2.1.2. 人員控制措施。 2.1.3. 實體控制措施。 2.1.4. 技術控制措施。 3. 安全管理政策 為了確保本公司之資訊安全管理系統（ISMS）得以貫徹執行、有效運作並持續精進，進而維護本公司之核心研發成果、客戶專案資料及營運系統的機密性、完整性與可用性，特此頒布本政策。 3.1. 落實安全開發檢測，從源頭確保系統品質 鑒於軟體與系統整合為本公司服務之基石，我們承諾在系統開發全生命週期中導入資安檢測標準；針對所有自主研發及委外專案，嚴格執行原始碼掃描 (Code Scan) 與漏洞修補程序，務求在產品上線前即阻絕潛在風險，確保交付給客戶的每一項數位產品皆具備最高安全規格。 3.2. 嚴密控管資料存取，全方位捍衛數據隱私 為捍衛客戶數據隱私、個資與公司商業機密，我們實施嚴格的存取控管策略，確切落實最小權限原則與強韌的身分鑑別機制；同時將資安監管範疇延伸至雲端服務供應商與外包合作夥伴，透過加密傳輸與合約規範，建構涵蓋供應鏈的資料防護網，防止任何未經授權的存取或外洩。 3.3. 強化營運持續韌性，實踐可靠的服務承諾 體現本公司「可靠」的核心價值，我們建立具備高韌性的營運持續管理機制 (BCP)；透過落實異地備援、多重資料備份及定期的資安事件應變演練，確保在面臨勒索軟體威脅或實體災害時，能迅速恢復核心業務運作，保障對客戶不中斷的服務承諾。 4. 資通安全責任 4.1. 最高管理者承擔資訊安全的最終責任，負責核准本政策、提供必要資源，並確保ISMS的有效實施。 4.2. 資通安全管理代表，負責督導 ISMS 的日常運作、協調內外部溝通及推動改善活動。 4.3. 全體同仁均有責任遵循本政策及相關安全程序，並有義務通報所發現的資安事件或弱點。任何違反資安規範的行為，將依公司規定處理。 5. 資訊安全管理制度（ISMS） 5.1. 一般要求 本公司依據 ISO 27001:2022 國際標準，建立、實施、維護並持續改善資訊安全管理系統（ISMS），以系統化與流程化的方法，確保本公司的資訊資產獲得適當保護。 5.2. 管理架構 5.2.1. 本公司採用「規劃－執行－檢查－行動」（PDCA）模型作為 ISMS 的核心管理循環，以確保其運作的有效性與持續改善。 5.2.1.1. 規劃（Plan）：鑑別內外部營運情境與利害關係者之期望，定義ISMS適用範圍，並執行風險評鑑以決定必要的控制措施。 5.2.1.2. 執行（Do）：依據風險處理計畫，投入適當資源，實施所選定之資訊安全控制措施與相關程序。 5.2.1.3. 檢查（Check）：透過有效的監控與衡量機制，並定期執行內部稽核與管理階層審查，以評估 ISMS 的績效與符合性。 5.2.1.4. 行動（Act）：根據檢查結果，採取必要的矯正與預防措施，以消弭不符合事項並尋求持續改善的機會。 6. 組織全景 6.1. 本公司承諾定期鑑別與營運目的相關，且會影響 ISMS 預期成果的內外部議題（含氣候變遷之關聯性與影響）；並決定相關利害關係者及其對資訊安全的相關要求。 6.2. 上述資訊將作為建立與界定 ISMS 範圍及制定風險控制措施的基礎。本公司將持續監控與審查這些議題與要求的變化，以確保管理系統的適用性。 7. 領導與承諾 7.1. 本公司最高管理者展現對資訊安全管理系統（ISMS）的領導作用與堅定承諾，確保其成功推動與有效運作。此承諾體現於： 7.1.1. 確立政策與目標：建立並核准本「資通安全管理政策」，並確保其與公司的策略方向一致；同時，建立可衡量的資安目標。 7.1.2. 整合與支持：確保 ISMS 的要求能融入公司的核心業務流程中，並承諾提供建立、實施、維護及持續改善 ISMS 所需的充分資源。 7.1.3. 賦予權責：指派明確的資安角色與權責，並確保全體同仁理解其在 ISMS 中扮演的角色與責任。 7.1.4. 溝通與倡導：向全體同仁傳達符合資安要求的重要性，並積極倡導持續改善的資安文化。 7.2. 監督與審查：親自主持管理階層審查會議，確保 ISMS 達成其預期成效，並引導其持續改善的方向。 8. 規劃 8.1. 風險與機會之應對措施。 8.1.1. 風險管理總則 本公司承諾建立並執行一個系統化、可重複的資訊安全風險管理流程，以鑑別、分析、評估及處理與公司核心資訊資產相關的風險。所有風險處理的目標，旨在將潛在的營運衝擊降低至公司可接受的風險水準。 8.1.2. 風險管理流程原則 本公司的風險管理流程，應確保涵蓋以下關鍵活動： 8.1.2.1. 風險評鑑 (Risk Assessment)： 8.1.2.1.1. 建立並維持風險評鑑準則。 8.1.2.1.2. 透過一致的方法，進行資訊安全風險的鑑別、分析與評估。 8.1.2.1.3. 將風險評鑑過程與結果予以文件化，並產出「風險評鑑報告」。 8.1.2.2. 風險處理 (Risk Treatment)： 8.1.2.2.1. 根據風險評鑑結果，選擇適當的風險處理選項（如：接受、規避、轉移、降低）。 8.1.2.2.2. 規劃並實施必要的控制措施，以應對已評估的風險。 8.1.2.2.3. 產出「適用性聲明書」(SoA)，以記錄所選定之控制措施、其選用理由及實施狀態。 8.2. 資通安全目標 本公司將依據本政策及風險評鑑結果，建立可在相關職能與階層上衡量的資通安全目標。為達成這些目標，我們將規劃具體行動、所需資源、權責人員及完成時限，並評估其結果。 8.3. 變更規劃 當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更。 9. 支援 本公司承諾提供必要的支援，以確保資訊安全管理系統（ISMS）的有效運作。 9.1. 資源 最高管理者承諾決定並提供建立、實施、維護及持續改善 ISMS 所需的資源，包含人力、技術、財務及基礎設施。 9.1.1. 能力與認知 9.1.1.1. 能力：本公司將確保執行資安相關工作的人員，具備必要的專業能力。我們將透過適當的教育、訓練或經驗來達成此目標，並保留相關紀錄。 9.1.1.2. 認知：我們將確保全體同仁認知本公司的資安政策、了解自身工作與資安目標的關聯性，並知悉違反資安要求可能帶來的影響。 9.1.1.3. 溝通：本公司將建立有效的內部與外部溝通機制，以確保 ISMS 相關資訊能在適當的時間，傳達給相關的利害關係者。 10. 文件化資訊 本公司將依據標準要求，建立並維護必要的 ISMS 文件化資訊，並對其進行生命週期管理，以支持系統運作並作為有效性之證據。 10.1. 文件要求 10.1.1. 本公司承諾建立並維護支持資訊安全管理系統（ISMS）運作所需的文件化資訊。此文件體系旨在確保 ISMS 的一致性、可追溯性，並作為其有效運作的證據。 10.1.2. 此文件化資訊體系至少應包含： 10.1.2.1. 核心政策文件：包含本「資通安全管理政策」、資安目標及 ISMS 適用範圍的聲明。 10.1.2.2. 風險管理文件：包含風險評鑑過程與結果、風險處理計畫及「適用性聲明書」（SoA）。 10.1.2.3. 作業程序與紀錄：為有效規劃、操作及管制資安流程所必要的程序文件，以及為證明符合要求所產生的各類執行紀錄。 10.1.2.4. 作業標準書：針對特定或關鍵性的資安作業，提供具體、步驟化的執行指引。其目的在於標準化重複性或技術性的作業，確保執行的可重複性與一致性，並有效降低因人為疏失所導致的風險，同時亦可作為相關人員的訓練教材。 10.1.3. 文件管制 本公司承諾對所有資訊安全管理系統（ISMS）所需之文件化資訊，實施生命週期管理，以確保其適切性、完整性與可用性。管制原則如下： 10.1.3.1. 建立與核准：於發行前審核其適切性，並確保其具有可識別的標示與版本狀態。 10.1.3.2. 分發與使用：確保在需要時及指定場所可取得適用版本，並管制其分發與存取。 10.1.3.3. 儲存與保護：確保文件化資訊在儲存與傳遞過程中受到適當保護，以維持其清晰可讀與完整性。 10.1.3.4. 保留與廢棄：根據需求定義保留期限，並防止已作廢文件被非預期地使用。 11. 運作 11.1. 運作規劃及管制 本公司將規劃、實施及管制必要的流程，以滿足資訊安全要求，並執行在 ISO 27001:2022 條文第六章「規劃」中所決定的風險處理計畫。 11.2. 變更管理 本公司承諾，所有對資訊安全管理系統（ISMS）及其支援環境（包含系統、網路、應用程式及重要程序）的變更，均應以規劃與管制的方式執行，以降低變更可能帶來的非預期衝擊與資安風險。 11.3. 變更管理應遵循以下原則： 11.3.1. 評估需求與風險：在實施變更前，應評估其必要性、預期效益，以及可能對資訊安全（機密性、完整性、可用性）帶來的潛在風險。 11.3.2. 規劃實施步驟：應規劃詳細的實施步驟、預計時程及權責人員。對於重大變更，應包含測試計畫與復原方案。 11.3.3. 核准與執行：所有變更在執行前，應獲得適當層級的授權。 11.3.4. 記錄與審查：所有執行的變更均應留下紀錄，並在完成後審查其結果，以確認變更已成功達成預期目標且未引發負面影響。 11.4. 營運持續準備：本公司承諾規劃並準備必要之營運持續能力，以確保在遭遇重大災害、系統失效或其他業務中斷事件時，能在預定的時間內，恢復關鍵業務流程與資訊系統的運作，將衝擊降至最低。 11.5. 此準備應基於對業務衝擊分析 (Business Impact Analysis, BIA) 的結果，據以發展、維護並定期測試我們的營運持續計畫 (Business Continuity Plan, BCP)，以驗證其有效性。 11.6. 供應商與委外管理 在與供應商或委外廠商的合作過程中，應明訂與專案相關的各項資安要求。若委外業務涉及複委託，應評估相關風險，並要求委外廠商對其複委託對象進行適當的監督與管理，以確保供應鏈的資訊安全。 12. 績效評估 12.1. 監控、衡量、分析與評估：我們將持續監控資訊系統的運作狀態與安全控制措施的有效性，並建立適當的量測指標，以評估資安績效。 12.2. 內部稽核 本公司承諾定期執行內部稽核，以提供資訊安全管理系統（ISMS）是否有效實施與維持的客觀資訊。稽核計畫的規劃與執行，將確保稽核過程的客觀性與公正性。稽核範圍將涵蓋 ISMS 的所有要求，包含： 12.2.1. 是否符合本公司自訂的資安要求及 ISO 27001 標準。 12.2.2. 是否有效地達成資通安全目標。 12.3. 管理階層審查 12.3.1. 本公司最高管理者承諾至少每年一次，召開管理階層審查會議，以確保資訊安全管理系統（ISMS）的持續適用性、適切性及有效性。 12.3.2. 審查應評估以下關鍵資訊： 12.3.2.1. 先前審查決議的執行狀況。 12.3.2.2. 影響 ISMS 的內外部議題變化。 12.3.2.3. 資通安全的整體績效，包含：目標達成狀況、監控與量測結果、內外部稽核發現、不符合事項與矯正措施進度。 12.3.2.4. 利害關係者的回饋。 12.3.2.5. 風險評鑑結果與風險處理的現況。 12.3.2.6. 任何持續改善的機會。 12.3.3. 審查的結果將作成決議，包含對 ISMS 的任何變更需求、更新風險處理方式、調整資源配置，以及所有持續改善的機會與指示。所有管理審查的過程與結果，均應作成紀錄並予以保存。 13. 改善 13.1. 持續改善 本公司承諾，將綜合運用資安政策、目標、風險評鑑、稽核結果、事件分析及管理階層審查的結論，作為持續改善資訊安全管理系統（ISMS）適用性、適切性及有效性的基礎。 13.2. 不符合事項及矯正措施 當不符合事項發生時，本公司承諾採取行動以管制並矯正該事項，並處理其後果。我們將評估是否有必要採取措施，透過以下步驟，消除不符合事項的根本原因，以防止其再度發生或在其他地方發生： 13.2.1. 審查不符合事項。 13.2.2. 判定其發生的根本原因。 13.2.3. 決定並實施必要的矯正措施。 13.2.4. 審查所採取矯正措施的有效性。 13.3. 所有不符合事項的性質及後續採取的任何措施，均應作成紀錄並予以保存。 14. ISMS 之實施操作 14.1. 為確保資訊安全管理系統（ISMS）的有效執行，本公司承諾投入必要資源，據以實施風險處理計畫與所選定之安全控制措施，並將資安要求融入日常作業流程中。 14.2. 所有對 ISMS 的變更，均應以規劃之方式進行，以確保變更過程的風險受到控管，並維持管理系統的完整性與有效性。 15. ISMS 之監控審查 15.1. 為確保資訊安全管理系統（ISMS）的持續有效，本公司承諾透過系統性的監控、衡量與審查活動，評估資安績效並鑑別改善機會。此活動主要包含以下核心承諾： 15.1.1. 持續監控與衡量：我們將持續監控資訊系統的運作狀態與安全控制措施的有效性，並建立適當的量測指標，以即時偵測異常行為與潛在資安事件。 15.1.2. 內部稽核：本公司將定期執行內部稽核，以客觀且獨立的角度，驗證 ISMS 的實施是否符合本公司政策、標準要求，並確認其運作的有效性。 15.1.3. 管理階層審查：最高管理者將定期召開管理審查會議，全面評估資安績效、風險狀態、內外部稽核結果及利害關係者的回饋，以確保 ISMS 的持續適用性、適切性與有效性，並據以作出持續改善的決策。 16. 政策之審查與發布 16.1. 政策審查 為確保本「資通安全管理政策」的持續適用性、適切性與有效性，最高管理者承諾每年至少審查本政策一次，或於組織內外部環境發生重大變化時立即審查。 16.2. 政策發布 16.2.1. 本政策經最高管理者核准後公告施行。所有修訂，亦須經同樣程序核准。 16.2.2. 本政策應傳達給公司全體同仁，並於必要時，提供給相關的外部利害關係者（如客戶、供應商等），以確保各方共同遵循。