潮間帶網路科技資訊安全

資訊安全

資訊安全政策

目的

潮間帶網路科技股份有限公司（以下簡稱本公司）為強化資訊安全管理，確保本公司資訊資產之機密性，完整性及可用性。以提供本公司業務持續運作所需之資訊環境與架構，並符合相關法規之要求，避免遭受內部，外部蓄意或意外事件影響，特制定此政策（以下簡稱本政策），作為本公司資訊安全管理系統（以下簡稱ISMS）的最高指導原則。

目標

本公司資訊安全目標為：確保從業務進件到交易完成，重要資訊及服務之機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）與遵循性（Compliance）。並依各階層與職能定義及量測資訊安全績效之量化指標，以確認ISMS實施狀況及是否達成資訊安全目標。

適用範圍

本公司考量內部及外部議題、關注方之需要及期望，以及本公司活動與其他組織活動間之介面及相依性，本政策及ISMS適用範圍為：貝殼貝克債權買賣平台之軟體開發、營運及作業環境，包括：實體辦公室區域、雲端系統、開發人員、軟體、營運資料、系統管理單位及相關作業流程。

對象與責任

一、所有與本公司適用範圍內之內部人員、服務供應商及訪客等，應遵循本政策及ISMS各項程序。

二、任何危及資訊安全之行為，將視情節輕重追究其法律及行政責任或依本公司相關規定懲處。

資安措施

一、使用偵測和防範惡意軟體及其他威脅的代理程式。包括 AV、EDR、EPP、FIM 和 HIDS。

二、透過加密、使用者行為分析及識別內容協助保護資料。

三、協助定義和管理使用者身分、存取政策和授權。協助強制施行業務管控，包括使用者身份驗證、授權和單一登入。

四、公司內部人員均簽訂保密協議。

五、依據個人資料保護法管理相關個資資料。

涵蓋內容

ISMS包括內容如下，有關單位及人員就下列事項，應訂定對應之管理規範或實施計畫，並據以實施及定期評估實施成效：

資安組織及管理審查程序
文件與記錄管理
資安目標與績效評量
風險管理
資訊安全內部稽核
持續改善
人力資源安全管理
資產管理
存取控制管理
實體與環境安全管理
運作安全與密碼學
通訊安全管理
系統獲取、發展與維護管理
供應商關係管理
資訊安全事故管理
營運持續管理
遵循性管理

組織與權責

為確保ISMS能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

實施原則

ISMS之實施應依據規劃（Plan）、執行（Do）、查核（Check）及改善（Act）流程模式，以週而復始、循序漸進的精神，確保ISMS運作之有效性及持續改善。

審查與評估

一、本政策應於重大變更或至少每年評估審查一次，以反映相關法令法規、技術、業務及相關部門等最新發展現況，確保資訊安全作業之有效性。

二、本政策應依據審查結果進行修訂，並經本公司負責人簽核發佈後始生效。

三、本政策訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知關注方，如：客戶、合作夥伴、所屬員工、供應商等。