1.1 資訊安全政策
為確保所提供資訊服務及產品之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,以保障本公司所屬職員或關注方之權益。
並擬訂「提升企業資訊安全意識」、「建立系統安全開發流程」、「提供可信賴的法律科技服務」、「保障用戶隱私資訊」為促進本公司資訊安全的四大政策方向。
1.2 資訊安全責任
-
1.2.1 應成立資訊安全組織,統籌資訊安全事項推動。
-
1.2.2 管理階層應積極參與及支持資訊安全管理制度,並透過適當的標準和程序以實施本政策。
-
1.2.3 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。
-
1.2.4 本公司全體人員、委外服務廠商均有責任通報資訊安全事件或弱點。
-
1.2.5 任何危及資訊安全之行為,將視情節輕重追究其民事、刑事及行政責任,或依本公司之相關規定進行議處。
1.3 資訊安全管理指標
-
1.3.1 確保法律科技服務相關系統之可用性。
-
1.3.2 確保本公司原始碼之存取與變更皆經過授權核准。
-
1.3.3 確保法律科技服務相關系統不被未經授權存取及竄改。
-
1.3.4 確保用戶資訊之安全。
-
1.3.5 每年至少辦理一次資安教育訓練。
-
1.3.6 符合技術規範及法令法規。
1.4 訂定管理制度範圍
-
1.4.1 組織透過全景分析,訂定本資訊安全管理制度之建置及應用範圍。
-
1.4.2 本公司資訊安全管理制度依據資訊安全驗證標準,依過程導向以建立、實施、操作、監督、審查、持續改善的管理循環,以期建立完善的資訊安全管理架構,達成資訊安全管理之目的。
-
1.4.3 制訂出一符合本公司資訊安全管理、政府法律法規及資訊安全驗證標準要求之風險評鑑方法。
-
1.4.4 風險評鑑的執行過程,包括資訊資產的清查,確認資產之擁有者、風險之擁有者,並經由資訊資產之機密性、完整性及可用性來識別資產價值。藉由鑑別資訊資產風險之機率與衝擊,評估風險發生時所造成的影響,整體風險評鑑之結果應製作成「風險評鑑表」。
-
1.4.5 透過資訊安全會議討論,訂定可接受風險值,作為風險管理之依據。
-
1.4.6 經執行風險評鑑作業後,為確保風險降低至可接受風險值,將高於可接受風險值之資產,制訂「風險改善計畫表」,作為風險控管之依據。
1.5 組織全景與利害關係方議題鑑別
-
1.5.1 因應ISO 27001︰2022組織全景要求,進行組織全景評鑑作業,以決定與本公司營運目標相關且會影響本公司達成資訊安全管理制度預定成果的內部與外部議題。
-
1.5.2 鑑別組織全景時,資訊安全執行小組須取得最高管理階層對組織營運宗旨與目標之看法和共識。
-
1.5.3 資訊安全小組依下述說明完成作業並記錄於「利害相關單位與內外部議題清冊」。
-
1.5.4 鑑別本公司關鍵業務流程。
-
1.5.5 鑑別與本公司關鍵業務流程相關之內部、外部利害關係者。
-
1.5.6 依據內外部利害關係者對本公司各項業務之需要與期望,識別關注議題、活動間的介面及相依性。
1.6 溝通或傳達
與資訊安全管理相關之重大內部及外部議題,必須進行溝通或有傳達的需要時,其溝通或傳達至少包括下列事項:
-
(1) 溝通或傳達事項。
-
(2) 溝通或傳達時間。
-
(3) 溝通或傳達對象。
-
(4) 溝通或傳達人員。
-
(5) 進行有效溝通或傳達所採用過程。
1.7 執行內部稽核
依所制訂之內部稽核管理程序,定期或不定期進行內部稽核,確保同仁及委外廠商皆遵循本公司所制訂之資訊安全管理制度執行相關工作。
1.8 進行管理審查
每年應召開管理階層審查,確認政策和目標的適用性、適切性與有效性,並能持續改善。管理審查過程中,參與各方之同仁應共同討論可能的對資訊安全管理制度改善之機會。
1.9 適用性聲明
資訊安全小組應檢視相關管理原則之制定,並對照ISO27001:2022版之管理要求,填寫「適用性聲明書」,以確認所有應執行之管理項目及控制項目皆以制定及落實。
1.10 資訊安全政策的實施
本政策經執行長核定後實施,修訂時亦同。