台灣澳圖美德資訊科技有限公司資通安全政策

修訂日期：2024.12.20

目的：

為維護台灣澳圖美德資訊科技有限公司（以下簡稱本公司）所屬資訊資產之機密性、完整性及可用性，並符合相關法規之要求，並保障使用者資料隱私，使其免於遭受內、外部的蓄意或意外之威脅。本公司整合各層級部門資通安全目標，建立本公司整體資通安全政策目標如下：

保護本公司業務活動資訊，避免未經授權存取，確保機密性。
保護本公司業務活動資訊，避免未經授權修改，確保正確完整性。
建立資訊業務永續運作計畫，維持本公司業務持續運作，確保可用性。
本公司之業務執行符合相關法規之要求，確保法規遵循性。

適用範圍：

本政策適用於本公司人員、委外服務廠商與訪客皆應遵守本政策，以及資通安全之相關作業規範管理事宜。

為避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。資通安全管理除透過「適用性聲明」、「文件管理程序書」、「資通安全稽核管理程序書」、「矯正預防管理程序書」外，亦依循下列程序書管理各事項：

資通安全政策訂定與評估（資通安全政策、資通安全目標管理程序書、組織全景分析程序書）。
資通安全組織（資通安全組織管理程序書）。
人員資通安全管理與教育訓練（人力資源安全管理程序書）。
重要資通資產分類與管制（資訊資產管理程序書）。
資料安全管控（資料安全管理程序書）。
風險鑑別管控（資通安全風險管理程序書）。
存取控制安全（存取管制與密碼管理程序書）。
實體與環境安全（實體與環境安全管理程序書）。
作業安全管理（作業安全管理程序書）。
網路安全管理（網路安全管理程序書）。
資訊系統獲取、開發與維護之安全（系統發展與維護管理程序書）。
供應商服務管理（供應商關係管理程序書）。
資通安全事件之反應及處理（資通安全威脅情資與事件管理程序書）。
業務永續運作管理（業務持續管理程序書）。
相關法規與本公司政策之符合性（法規遵循管理程序書）。

權責：

為落實執行本公司資通安全政策，權責劃分如下：

本公司設置資通安全委員會，由公司管理高層指定一員任資通安全長，該委員會統籌資通安全政策、計畫、作業、資源調度之協調與管理審查。
資通安全委員會下設置資通安全工作小組，由資通安全長指定專人擔任管理代表，配合本公司資通安全需求制修訂各階管理程序文件，維持本公司資通安全管理系統之有效運作，每年應至少一次將資通安全工作執行成果，陳報資通安全委員會進行管理審查。
本公司各單位應遵循資通安全工作小組制定之相關資通安全規定。
本公司員工、本公司辦公場所以外之系統連線使用者及承接本公司業務之廠商，應遵循本公司資通安全政策及相關管理規定。
有任何危及資通安全之行為者，應依法負擔民事、刑事責任，並依本公司相關規定進行行政懲處。

名詞定義：

資通安全：實現和維護資訊與通訊的機密性、完整性及可用性；亦能涉及如鑑別性、可歸責性、不可否認性及可靠性等性質。
機密性：資訊不得被未經授權之個人、實體或程序所取得或揭露的特性。
可用性：已授權實體在需要時可存取與使用之特性。
完整性：對資產之精確與完整安全保證的特性。
鑑別性：確保特定主體或資源之識別就是其所聲明者的特性。
不可否認性：對一已發生之行動或事件的證明，使該行動或事件往後不能被否認的能力。
可歸責性：確保實體之行為可唯一追溯到該實體的特性。
可靠性：確保預期行為與結果一致的特性。

作業說明：

審查：
本政策應至少每年評估審查一次，以符合政府法令之要求，並反映資通科技發展趨勢，確保本公司資通安全管理作業之有效性。
實施：
1. 資通安全政策應配合資通安全委員會召開時機，每年定期進行資通安全政策及執行成效管理審查。
2. 本公司每年應遵循「資通安全目標管理程序書(I-2-05)」，使用「資通安全目標有效性量測表(I-2-05-01)」定期量測並審查資通安全目標執行績效，亦應每年定期審核本公司各層級、各部門及整體資通安全管理系統政策目標之有效性和適切性。
3. 本公司每年應依據「組織全景分析程序書(I-2-19)」，使用「組織全景鑑別表(I-2-19-01)」定期進行組織全景分析，鑑別可能影響組織達成資通安全管理系統預期成果能力者之內部及外部議題，瞭解利害關係者關注方之需要及期望。
4. 本公司應定義並每年定期進行資通安全管理系統「適用性聲明書(I-1-02)」審查，包含檢討資通安全管理系統適用範圍、納入或排除資通安全控制措施之項目及其理由之正確及適切性。
5. 本政策經本公司「資通安全委員會」通過後實施，修訂時亦同。