為確保所提供資訊服務及產品之機密性、完整性及可用性，並符合相關法令法規之要求，使其免於遭受內、外部的蓄意或意外之威脅， 以保障本公司所屬職員或關注方之權益。並擬訂「提升企業隱私與資訊安全意識」、「建立系統安全開發流程」、「提供可信賴的法律科技服務」、 「保障用戶隱私資訊」為促進本公司隱私與資訊安全的四大政策方向。

• 2.1 應成立資訊安全組織，統籌資訊安全事項推動。

• 2.2 管理階層應積極參與及支持資訊安全管理制度，並透過適當的標準和程序以實施本政策。

• 2.3 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。

• 2.4 本公司全體人員、委外服務廠商均有責任通報資訊安全事件或弱點。

• 2.5 任何危及資訊安全之行為，將視情節輕重追究其民事、刑事及行政責任，或依本公司之相關規定進行議處。

• 3.1 確保法律科技服務相關系統之可用性。

• 3.2 確保本公司原始碼之存取與變更皆經過授權核准。

• 3.3 確保法律科技服務相關系統不被未經授權存取及竄改。

• 3.4 確保用戶資訊之安全。

• 3.5 每年至少辦理一次資安教育訓練。

• 3.6 符合技術規範及法令法規。

• 4.1 內部稽核結果符合合法蒐集、處理、利用個人資料，未有不符合情況。

• 4.2 妥善管理本公司個人資料檔案，未有嚴重事件。

• 4.3 內部稽核結果依「個人資料保護法」規定保護資料當事人權益，未有不符合情況。

• 5.1 組織透過全景分析，訂定本資訊安全管理制度之建置及應用範圍。

• 5.2 本公司資訊安全管理制度依據資訊安全驗證標準，依過程導向以建立、實施、操作、監督、審查、持續改善的管理循環，以期建立完善的資訊安全管理架構，達成資訊安全管理之目的。

• 5.3 制訂出一符合本公司資訊安全管理、政府法律法規及資訊安全驗證標準要求之風險評鑑方法。

• 5.4 資訊安全風險評鑑的執行過程，包括資訊資產的清查，確認資產之擁有者、風險之擁有者，並經由資訊資產之機密性、完整性及可用性來識別資產價值。藉由鑑別資訊資產風險之機率與衝擊，評估風險發生時所造成的影響，整體風險評鑑之結果應製作成「風險評鑑表」。

• 5.5 風險評鑑的執行過程，包括資訊資產的清查，確認資產之擁有者、風險之擁有者，並經由資訊資產之機密性、完整性及可用性來識別資產價值。藉由鑑別資訊資產風險之機率與衝擊，評估風險發生時所造成的影響，整體風險評鑑之結果應製作成「風險評鑑表」。

• 5.6 透過資訊安全會議討論，訂定可接受風險值，作為風險管理之依據。

• 5.7 經執行風險評鑑作業後，為確保風險降低至可接受風險值，將高於可接受風險值之資產，制訂「風險改善計畫表」，作為風險控管之依據。

• 6.1 對於個人資料的蒐集、處理、利用，除合法及合於業務作業目的之外，嚴禁一切非法或非業務作業之行為。

• 6.2 僅於業務作業過程中之特定目的內蒐集個人資料。

• 6.3 制定聲明，說明支持並承諾符合適用的個人資料保護法律/規範以及組織與其合作夥伴、分包商和適用第三方(客戶、供應商等)的合約條款約定，約定宜明確分配彼此之間的責任。

• 6.4 處理個人資料的任何組織，無論是個人資料控制者還是個人資料處理者，都宜在發展和維護隱私與資安政策時考量適用的個人資料保護法律/規範。

• 6.5 僅於法律規定及業務作業所須範圍，蒐集最少之個人資料，並且不處理過多的個人資料。

• 6.6 應提供明確之管道，讓當事人知悉其個人資料將如何被使用，及被誰使用的清楚資訊。

• 6.7 本著合法、公平、公正、公開的合理處置原則，進行蒐集、處理、利用必要之個人資料，並建立管理制度，以合理且適切地處理所取得之個人資料。

• 6.8 應識別並紀錄處理個人資料具體的目的，並依據所處理的個人資料的目的，決定、文件化並符合法律基礎。

• 6.9 應確保相關的個人資料處理合約，能夠滿足本公司在提供協助符合客戶義務方面的角色，並確保代表客戶處理之PII僅可依客戶指示之目的進行。

• 6.10 對於所取得之個人資料，建立個人資料檔案清冊，並適當維護相關內容。

• 6.11 為保持個人資料精確性，依作業性質及當事人之請求，予以保持最新。

• 6.12 個人資料保存期限，僅在合乎法律或規定或特定目的內進行。

• 6.13 尊重當事人權利，建立相關處理流程。

• 6.14 為了確保個人資料的正確性和安全性，應建立適當的安全維護措施。

• 6.15 僅於合法及有適當保護的狀況下，傳送個人資料至其他國家或地區。

• 6.16 嚴格遵守個人資料保護相關法規，包含其他法規豁免例外應用。

• 6.17 適當鑑別並諮詢利害關係人，以增加利害關係人的參與程度。

• 6.18 持續發展及實施隱私管理工作，以確保政策得以落實。

• 6.19 確認相關人員在隱私管理制度內之職掌及責任。

• 6.20 本公司不會特意蒐集任何未滿13歲兒童之隱私資料，當需要處理兒童個人資料時，應有監護人同意機制，但關於提供專業諮詢與預防性服務之情況除外。

• 7.1 因應ISO 27001︰2022組織全景要求，進行組織全景評鑑作業，以決定與本公司營運目標相關且會影響本公司達成資訊安全管理制度預定成果的內部與外部議題。

• 7.2 鑑別組織全景時，資訊安全執行小組須取得最高管理階層對組織營運宗旨與目標之看法和共識。

• 7.3 資訊安全小組依下述說明完成作業並記錄於「利害相關單位與內外部議題清冊」。

• 7.4 鑑別本公司關鍵業務流程。

• 7.5 鑑別與本公司關鍵業務流程相關之內部、外部利害關係者。

• 7.6 依據內外部利害關係者對本公司各項業務之需要與期望，識別關注議題、活動間的介面及相依性。

與資訊安全管理相關之重大內部及外部議題，必須進行溝通或有傳達的需要時，其溝通或傳達至少包括下列事項：

• (1) 溝通或傳達事項。

• (2) 溝通或傳達時間。

• (3) 溝通或傳達對象。

• (4) 溝通或傳達人員。

• (5) 進行有效溝通或傳達所採用過程。

依所制訂之內部稽核管理程序，定期或不定期進行內部稽核，確保同仁及委外廠商皆遵循本公司所制訂之資訊安全管理制度執行相關工作。

每年應召開管理階層審查，確認政策和目標的適用性、適切性與有效性，並能持續改善。管理審查過程中，參與各方之同仁應共同討論可能的對資訊安全管理制度改善之機會。

11.1 資訊安全小組應檢視相關管理原則之制定，並對照ISO27001:2022版之管理要求，填寫「適用性聲明書」，以確認所有應執行之管理項目及控制項目皆以制定及落實。

11.2 資訊安全小組應檢視相關管理原則之制定，ISO 27701:2019版之管理要求、附錄A及附錄B之控制項目，填寫「隱私適用性聲明書」，資訊安全既隱私管理委員會審核通過，以確認所有應執行之管理項目及控制項目皆以制定及落實。

本政策經執行長核定後實施，修訂時亦同。

律果簽雲端服務，建構於 Google Cloud Platform （GCP）之基礎上。GCP 之服務受業界信賴，針對安全措施有詳細的說明。您可以在以下連結中找到更多資訊： Cloud Compliance & Regulations Resources

我們非常重視您的資料安全與隱私。為了確保資料的安全性與可用性，我們採用了 Google Cloud Platform 作為我們的資料儲存與管理服務。目前，您的資料將儲存於台灣的資料中心()。

地區: 台灣
城市: 台北
資料傳輸方式
在資料在不同地區或國家之間進行傳輸時，我們採用了以下安全措施：

• 加密傳輸: 所有資料在傳輸過程中均會進行加密，確保資料在傳輸途中不被攔截或篡改。
• 安全協議: 我們使用安全的傳輸協議（如 HTTPS 和 SSL/TLS）來保護資料在網絡中的傳輸。
• 定期審查: 我們會定期審查並更新我們的資料傳輸協議，以確保其符合最新的安全標準和法規。

1. 資料加密:

- 靜態資料加密: GCP 會對儲存中的資料進行加密，確保資料在靜止狀態下的安全性。
- 傳輸資料加密: 所有在 GCP 上進行傳輸的資料都會使用 HTTPS 和 SSL/TLS 協議進行加密，確保資料在傳輸過程中的安全。

2. 存取控制:

- 嚴格的存取權限: GCP 採用嚴格控管的存取控制機制，確保只有授權人員能夠存取資料。
- 多因素驗證（MFA）: 對於需要更高安全性的操作，GCP 提供多因素驗證，增加了額外的安全層。

3. 安全監控與稽核:

- 實時監控: GCP 提供實時安全監控，能夠及時發現和應對潛在的安全威脅。
- 日誌記錄與稽核: 所有的資料存取和操作都會被記錄在日誌中，並可以進行稽核，以便追縱和分析安全事件。

4. 合規認證:
- GCP 符合多種國際和地區的安全和隱私標準，包括 ISO 27001、ISO 27017 和 ISO 27701。