資訊安全保護政策

壹、目的

微拓科技股份有限公司（以下簡稱本公司）為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供本公司之資訊服務業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範。

貮、適用範圍

本公司依實際需要及符合政府與相關法令要求建立資訊安全管理系統。為確保資訊之機密性、完整性、及可用性，透過 SWOT 分析與利害關係對應表，將本系統適用範圍 ISO 27001 系統適用範圍設定為本公司產品研發部之作業；產品適用的範圍訂於電子簽核（OmniBPM）及行銷自動化服務（OmniSegment），所建置之資訊安全管理系統及維運。 ISO 27018 系統適用範圍設定為本公司產品研發部之作業；產品適用的範圍訂於電子簽核（OmniBPM）及行銷自動化服務（OmniSegment），所建置公有雲個人隱私保護管理系統及維運。以充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。本公司於建置資訊安全管理系統之初衷及系統執行之結果，均應將內外部單位對資訊安全方面之議題，及關注方對資訊安全管理系統之期盼與要求納入考量，並列入目標與成效評估範圍。這些資訊安全相關議題、期盼或要求，應列入風險評估及風險管理，以確保資訊安全管理系統能達成預期效果及持續改善。並於風險評鑑過程中必須要能識別風險擁有者。本公司應於相關部門及層級建立資訊安全目標，並可與資訊安全政策對應或連結，且必須（1）可以量測（2）成效量測方式（3）需訂定完成日期（4）需有負責人員（負責單位）。本政策涵蓋資訊安全管理 14 項控制事項及雲服務個人隱私保護事項，避免因人為疏失、蓄意或天然災害等因素，導致重要資訊及個資不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。管理事項如下：

資訊安全及個人隱私保護政策
資訊安全的組織
人力資源安全
資產管理
存取控制
密碼（金鑰管理）
實體與環境安全
營運安全
通訊安全
資訊系統獲取、開發及維護
供應商管理及雲服務個人隱私保護責任
資訊安全事件管理
有關於資訊安全方面的營運持續管理
適法性，須滿足管理系統要求，中華民國個人資料保護法，及客戶合約要求
雲服務之個人隱私保護
雲服務可識別個資之返還，移轉或處置之機制

參、權責

本公司產品管理部負責擬定此政策，並呈管理階層審查核准後實施。
資訊安全管理者透過適當的標準和程序以實施此政策。
所有人員和委外服務廠商均須依照相關安全管理程序以維護資訊安全政策。
所有人員有責任報告資訊安全事件和任何已鑑別出之弱點，若因而防止可能發生之資訊安全威脅事件，得視情況予以適當獎勵。
任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處。
本公司於公有雲服務之過程中，系提供 SaaS 的服務，在個資保護之角色上為個資處理者。

肆、名詞定義

資訊資產：係指為維持本公司資訊業務正常運作之硬體、軟體、文件及人員。
業務持續運作之資訊環境：係指為維持本公司各項業務正常運作所需之電腦作業環境。

伍、作業說明

維護本公司資訊資產之機密性、完整性與可用性，並保障使用者資料隱私。藉由全體同仁共同努力來達成下列目標：

保護本公司業務活動資訊，避免未經授權的存取含雲端服務之存取與控制。
保護本公司業務活動資訊，避免未經授權的修改，確保其正確完整。
確保雲服務客戶間，具備安全之隔離。
雲服務相關人員，於雲服務過程中不得及無法接觸客戶資產，如因作業需要，須取得客戶同意。雲服務提供者之內部作業及管理環境須與雲服務客戶之作業環境明顯區隔。
客戶及相關人員，於進入雲服務系統時，需透過身分驗證過程，以確保雲服務之資訊安全。
雲服務作業過程如有變更，依合約要求通知雲服務客戶，或進行必要溝通。
當客戶終止接受雲服務時，權責單位須將該客戶之所有資訊資產清除，以確保客戶權益及雲服務資訊安全。
當不符合事項發生或違規行為發生時，須與客戶進行必要之溝通，並視需要提供調查結果及相關資訊。
建立跨部門之資訊安全組織，制訂、推動、實施及評估改進資訊安全管理事項，確保本公司具備可供業務持續運作之資訊環境。
辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。
執行資訊安全風險評估機制，提升資訊安全管理之有效性與即時性。
實施資訊安全內部稽核制度，確保資訊安全管理之落實執行。
本公司之業務活動執行須符合相關法令或法規之要求。
本公司依合約協助或提供客戶個資及相關檔案處理時，除須滿足合約要求外，並須滿足公有雲之個人隱私保護要求。
雲服務提供者應於相關文件中定義雙方間，資訊安全事件之責任歸屬。
雲服務提供者須針對客戶資料及雲服務功能作有效維護，並設定存取權限機制。

陸、相關文件

無

資訊安全保護政策｜beBit TECH