一﹑目的
- 奇豐資訊科技股份有限公司(以下簡稱本公司)為強化資訊。安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。
二、適用範圍
- 本政策適用於本公司下列業務活動:
- 客戶關係管理。
- 需求收集。
- 專案管理。
- 視覺設計。
- 軟體設計。
- 軟體開發。
- 軟體測試。
- 軟體發行。
三、定義
- 服務:係指本公司所提供之服務。
- 資訊資產:係指為維持本公司提供之服務正常運作所需之硬體、軟體、環境、資料及人員。
四、政策願景
- 導入資安全管理系統,保護本公司之業務流程、機敏資料與營運持續之機能,以確保本公司之業務活動正常運行,進而保障本公司、客戶與供應商之權益。
五、目標
- 依據資訊安全願景,擬定相關資訊安全目標如下:
- 確保本公司營運流程之資訊資產之機密性、完整性與可用性。
- 確保本公司營運流程產生之機敏資訊與客戶提供之業務資訊受到適當保護。
- 確保本公司採用之設計素材之合法性與設計成品之完整性。
- 確保本公司軟體產品之完整性,與採用之軟體元件之合法性。
- 確保本公司軟體產品與資訊安全制度能符合政府資通安全法與相關法規之要求。
- 應針對上述資訊安全目標,擬定年度待辦事項、所需資源、負責人員、預計完成時間以及結果評估方式與評估結果相關監督與量測程序,應遵循本公司「監督與量測管理標準」辦理。
- 應針對資訊安全目標有效性量測結果,向管理階層進行報告。
六、責任與承諾
- 本公司管理階層建立及審查此政策。
- 本公司管理層授權本公司之資訊安全管理組織,透過適當的標準和程序以實施此政策。
- 所有人員和委外服務供應商需依照相關安全管理標準與程序以維護資訊安全政策,必要時亦須知會關注者。
- 所有人員有責任報告資訊安全事件和任何已鑑別出之弱點。
- 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。
- 本公司管理階層承諾依持續改善之精神,維持與改善本公司之資訊安全管理系統。
七、審查
- 本政策應至少每年審查乙次,以反映政府法令、技術及業務等最新發展現況,以確保組織永續運作及資訊安全實務作業能力。
八、實施
- 資訊安全政策配合管理審查會議進行資訊安全政策審查。
- 本政策經管理審查會議審查通過後公告實施,並應於組織內部進行傳達,修訂時亦同。