资讯安全政策
1. 政策目的
奇邑科技股份有限公司(以下简称本公司)为推动资讯安全、云端安全管理系统,建立安全及可信赖之资讯作业环境,确保资料、系统、设备及网路安全,特订定「资讯安全政策」(以下简称本政策),以确保资讯安全、云端安全及提升服务品质,并达永续经营之目标。
2. 适用范围
所有本公司之员工、合作伙伴、供应商、云端服务客户及云端服务提供者等,皆有责任遵循本政策。
3. 宣导标语
「资通安全,人人有责」
4. 资安政策及资安目标
4.1 本公司员工,均须签署本公司「聘雇合约书」,外部方参加本公司专案人员均须签署「外部方切结书」,并遵守「国家机密保护法」、「营业秘密法」、「个人资料保护法」、「著作权法」、「刑法」、「资通安全管理法」、「资通安全管理法施行细则」及资通安全管理法子法等国家相关法规之要求,且不得发生泄密或违法事件。
4.2 委制、共同合作或专案资料之存取或异动,专案档案均应设置存取权限,敏感(机密)资讯传输前必须先行加密。
4.3 云端服务安全管理:
4.3.1 因应云端服务之资讯安全风险,依照ISO 27001及IS0 27017之资安要求,设计、建置与提供云端服务,并做好风险管理。
4.3.2 所有云端服务设计、规划、建置、运维等相关内部⼈员,皆于任用时即签署告知应负的法律责任与义务。
4.3.3 相关内部人员均了解并签署保密切结文件,以对机密性或敏感性资料的控管。
4.3.4 内部⼈员对相关系统资讯存取,以最小权限、最少资讯为原则,并以帐号申请与角色分类控管权限。
4.3.5 云端平台运维人员仅限定特定人员可注册申请平台系统存取权限。
4.3.6 云端服务为多租户平台,每⼀租户皆可享有独立虚拟化使用空间,于部署VM服务和使用时,不与其他租户间的服务资源互相影响。
4.3.7 云端服务如需进行平台优化、异动调整等可能影响服务时,将主动提前通知用户。
4.3.8 云端服务客户进行变更管理,由专人处理云端服务任何相关问题。
4.3.9 云端服务客户需透过SSH或VPN加密连线至 VM进行管理,以确保连线安全。
4.3.10 落实云端服务客户帐户的生命周期管理。
4.3.11 云端平台提供申装资源的新增、异动、退租等所有操作时间历史纪录。
4.3.12 本云服务提供商位于台湾,可以储存及保护云服务客户资料。
4.3.13 沟通违规行为与资讯共享,以协助调查与取证。