為因應日趨重要的資訊安全管理工作,以及配合政府機關與上市櫃企業所應達到的標準,我們會依據以下原則,進行公司內部管理及確保客戶委託工作的進行,以確保系統的可用性、機密性及完整性。(以下文字部分取自標準化的 ISMS資訊安全管理規範文書)
圖片以連結方式,引用自領導力企管公司 ISO27001資訊安全管理系統說明,https://www.isoleader.com.tw/home/iso-coaching-detail/ISO27001
- 良知公司對業務上所接觸之資料,視同機密文件採必要之保密措施,並應依合約規定或資安管理規範填具相關文件。
- 良知公司與公司聘雇工作人員訂定工作合約,告知並要求工作人員嚴守工作合約內容、指定專案的合約內容及業務機密保密。
- 專案客戶保有對良知公司執行資安檢查及稽核的權利,良知公司於合理時間內配合提供客戶相關書面資料或協助約談相關人員。經檢查或稽核結果發現不符合約規定,於接獲客戶通知後改善。
- 良知公司盡力確保客戶委託開發之系統、網站應用程式及主機絕無任何形式之後門或弱點, 以免危害資通安全。
- 良知公司於發現相關系統資安弱點或安全漏洞時,立即對系統、網站程式或主機提出改善措施並無條件進行漏洞修補。
- 發現資通安全事件時,良知公司依據資安事件應變管理程序及相關資安規定方式進行通報、應變及處理。
- 涉及機敏性或關鍵性之系統相關資料,良知公司負有保密責任,並確實管控系統開發與變更過程之安全性。
- 系統安全機制整體考慮實體安全、軟體安全及資料安全。各流程須考量資料安全及資料傳輸正確,於各種不同使用者溝通管道上,規劃適當之安全協定,以完整地保護各項交易不被盜取、竄改,並杜絕發生系統被入侵之行為。
- 系統制訂完善備援程式及回復程序,並定期實施復原演練,系統如遭逢重大天然災害或人為意外時,能迅速重建系統及還原所有資料。
- 若客戶有自行訂定的資訊安全管理相關程序,良知公司依據規範規劃適當的系統安全功能,經客戶核可後進行系統開發,並確實測試系統安全功能,以確保系統安全品質。
- 對所設計程式做好輸入查驗工作,並對使用者輸入資料之長度、型態、特殊字元及特殊指令等,確實加以過濾與處理。
- 使用者使用 Web 應用系統之各種資源, 均進行嚴格的身分管制程序,透過適當的授權程序保證所有的用戶動作有明確的責任管制與稽核軌跡。
- 對使用者的密碼、交易資料、交易過程產生之敏感資料等,進行適當的保護與管理。
- 伺服器主機目錄存取權限,建立妥善的規劃及控管。
- 建立適當的系統異常或錯誤之管理機制,以防止系統資訊洩密、阻斷服務、系統癱瘓等狀況發生。
- 建立適當的系統組態設定,以保障系統安全。
- 建立系統之錯誤紀錄及存取紀錄機制,並維持正常運作。
- 保持系統各項資料交換的完整性,若在異動資料過程中失敗,能終止異動,並復原成異動前狀態,且顯示適當之訊息。
- 系統上線、版本更新、大幅度功能增修或客戶指定要求,良知公司可提供安全性檢測證明,以確保系統中、高風險弱點已完成修補。
- 安全性檢測證明之提供,包含良知公司自我檢測報告,以及客戶或客戶委託第三方檢測之結果。
- 利用非自行開發之系統或資源者,標示非良知公司自行開發之內容、來源及提供授權證明。
- 良知公司採購或使用之物聯網設備、資訊設備或網路通訊設備等,遵守資通安全管理法規定,限制使用危害國家資通安全產品。