發行日期:2024/10/29
發行版本:v1.1
目的
台灣聯合金融科技股份有限公司(以下簡稱本公司)為強化資訊安全管理,確保本公司資訊資產之機密性,完整性及可用性。以提供本公司業務持續運作所需之資訊環境與架構,並符合相關法規之要求,避免遭受內部,外部蓄意或意外事件影響,特制定此政策(以下簡稱本政策),作為本公司資訊安全管理系統(以下簡稱ISMS)的最高指導原則。
目標
本公司資訊安全目標為:確保從業務進件到交易完成,重要資訊及服務之機密性(Confidentiality)、完整性 (Integrity)、可用性(Availability)與遵循性(Compliance)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認ISMS實施狀況及是否達成資訊安全目標。
適用範圍
本公司考量內部及外部議題、關注方之需要及期望,以及本公司活動與其他組織活動間之介面及相依性,本政策及ISMS適用範圍為:BZNK必可企業募資平台之軟體開發、營運及作業環境,包括:實體辦公室區域、雲端系統、開發人員、軟體、營運資料、系統管理單位及相關作業流程。
對象與責任
1. 所有與本公司適用範圍內之內部人員、服務供應商及訪客等,應遵循本政策及ISMS各項程序。
2. 任何危及資訊安全之行為,將視情節輕重追究其法律及行政責任或依本公司相關規定懲處。
涵蓋內容
ISMS包括內容如下,有關單位及人員就下列事項,應訂定對應之管理規範或實施計畫,並據以實施及定期評估實施成效:
1. 資安組織及管理審查程序
2. 文件與記錄管理
3. 資安目標與績效評量
4. 風險管理
5. 資訊安全內部稽核
6. 持續改善
7. 人力資源安全管理
8. 資產管理
9. 存取控制管理
10. 實體與環境安全管理
11. 運作安全與密碼學
12. 通訊安全管理
13. 系統獲取、發展與維護管理
14. 供應商關係管理
15. 資訊安全事故管理
16. 營運持續管理
17. 遵循性管理
組織與權責
為確保ISMS能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。
實施原則
1. ISMS之實施應依據規劃(Plan)、執行(Do)、查核(Check)及改善(Act)流程模式,以週而復始、循序漸進的精神,確保ISMS運作之有效性及持續改善。
2. 需要對ISMS變更時,應以規劃之方式執行變更。
審查與評估
1. 本政策應於重大變更或至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部門等最新發展現況,確保資訊安全作業之有效性。
2. 本政策應依據審查結果進行修訂,並經本公司負責人簽核發佈後始生效。
3. 本政策訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知關注方,如:客戶、合作夥伴、所屬員工、供應商等。
溝通或傳達
本公司ISMS文件(包含本政策)制定或修訂後,應以網站公告、電子郵件、通訊軟體、文件管理系統、會議或其他可溝通或傳達方式,告知或與內外部關注方溝通,如:內部員工、客戶、合作夥伴、供應商等。