資訊安全政策
最後更新時間:2022年11月14 日
最後更新時間:2022年11月14 日
最後更新時間:2023年10月04 日
一、目的
OneEC 電商多通路一站管理平台 (以下簡稱 OneEC ) 為精誠資訊股份有限公司 (以下簡稱本集團) 提供之服務產品之一,為強化資訊業務資訊安全暨品質管理,確保資訊資產之機密性、完整性、可用性,以符合相關法令、法規之要求,並避免遭受內、外部蓄意或意外之威脅,提供永續之服務,並建立資訊安全管理制度,特訂定「資訊安全政策」(以下簡稱本政策)。
二、適用對象及範圍
本集團 全職或兼職員工、臨時工讀生,及 OneEC 擁有或存在於本集團所轄處所之資訊資產及可能衍生資訊安全風險設施、物品,均屬本政策適用對象,皆應遵守 OneEC 資訊安全政策。
三、內容
(一)、OneEC 資訊安全目標
OneEC除了遵循本集團之資訊安全目標外,依OneEC資訊業務性質特訂定下列資訊安全目標:
1、符合政府法令及主管機關的要求。
2、確保資訊安全控管要求與公司營運發展方向一致性。
3、確保客戶個人資料之機密性、正確性與完整性。
4、確保所提供OneEC平臺永續運作。
(二)、資訊安全管理體系運作流程機制
1、導入資訊安全管理體系運作PDCA循環機制
(1)、規劃評估(Plan)
建置風險管理制度並對影響資訊資產安全之威脅、弱點及現行控管機制進行風險評估。
(2)、設計建置(Do)
依據ISO 27001的控制要求,經風險評估產出結果及考量成本效益設計或修正並建置執行應有之控制機制。
(3)、覆核稽查(Check)
定期或不定期實施資訊安全自行查核,以確保資訊安全管理之落實。
(4)、 檢討改善(Act)
根據覆核檢查之建議結果,執行不符合事項做出矯正措施,改善並執行應有之控管機制以消除不符合事項的根因。
2、文件及記錄管理要求
資訊安全文件之核發、管制與變更均應有管制之方式,資訊安全管理制度運作所產生表單及紀錄,記錄保管單位應指派相關紀錄保存 人員妥善保管,訂定保存期限與核定與閱覽之權限,以利追蹤制度執行狀況,維護制度有效運作。
3、管理階層責任
管理階層應確保完成下列工作,以表示對資訊安全管理制度之充分支持:
(1)、確保資訊安全政策與目標與營運策略方向一致。
(2)、確保資訊安全管理規範與作業程序可符合營運需求。
(3)、提供資訊安全管理制度各項作業所需之資源。
(4)、宣導資訊安全管理制度之遵循性及有效性的重要性。
(5)、確保資訊安全管理制度達到預期之成果。
(6)、指引並支持人員對資訊安全管理制度的有效性做出貢獻。
(7)、促進資訊安全管理制度之持續改進。
(8)、支持各管理角色就其職責範圍內展現領導力與承諾。
4、資訊安全制度查核
應於規劃期間定期或不定期執行資訊安全管理制度之評估或查核作業,以檢討控管目標、規範與作業程序是否合乎相關標準、
法令規定或資訊安全需求,並依預期規劃有效執行與維持,以持續增進資訊安全管理制度的有效性。
四、資訊資產保護政策
(一)、個資保護策略
1、各通路訂單及出貨相關之個資資料,採 AES(Advanced Encryption Standard)對稱式加密算法進行欄位資料加密,加密協議使用複雜的算法和處理步驟將原始數據置亂為密文,密文只能使用各廠商的密鑰進行解密。各廠商持有專屬密鑰,以確保其它廠商拿到資料也無法解開。
2、加密欄位範圍包含 收件者名稱、收件者電話、收件者手機、收件者住址細項、購買者名稱、購買者電話、寄送者名稱、寄送者電話、寄送者住址細項。
(二)、資料備份復原策略
1、備份方式:使用資料庫原廠內建備份功能,進行異地備份,包含 遠端備份、並行備份、檔案/文件壓縮、Standby備份、增量備份/恢復、單點/單庫還原、保留策略、備份加密、RITR還原。
2、備份頻率:每日增量備份一次;每週完整備份一次。
3、災難復原演練頻率:每季一次,演練範圍包含 作業環境建置、設定、備份還原。