藍途記帳 - 資訊安全政策

藍途記帳

資訊安全政策

版本:V1.1

發行日期:2023/05/18

歡迎使用藍途記帳雲端財務管理工具(以下簡稱本網站),本網站及相關服務是由匯雲數位股份有限公司(NexTrek Co.)所提供,為了讓您能夠安心使用本網站及相關服務,並保障您的權益,特於此向您說明本網站的資訊安全政策。

一、目的

鑑於資訊安全乃維繫各項服務安全運作之基礎,為確保匯雲數位股份有限公司(NexTrek Co.,以下簡稱本公司)人員、資料、資訊系統、設備及網路之安全,特訂定資訊安全政策(以下簡稱本文件),作為本公司資訊安全管理系統(以下簡稱ISMS)的最高指導原則。


二、目標

本公司資訊安全目標為:確保重要資訊及服務之機密性(Confidentiality)、完整性 (Integrity)、可用性(Availability)與遵循性(Compliance)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認ISMS實施狀況及是否達成資訊安全目標。


三、適用範圍

本ISMS考量本公司內部及外部議題、關注方之需要及期望,以及本公司活動與其他組織活動間之介面及相依性,適用範圍為:藍途記帳軟體開發、測試、營運及作業環境,包括:實體辦公室區域、雲端系統、開發人員、軟體、營運資料、系統管理單位及相關作業流程。


四、涵蓋內容

ISMS包括內容如下,有關單位及人員就下列事項,應訂定對應之管理規範或實施計畫,並據以實施及定期評估實施成效:

  • 資訊安全組織與管理審查

  • 風險管理

  • 文件與記錄管理

  • 資訊安全內部稽核

  • 人力資源安全管理

  • 資產管理

  • 存取控制管理

  • 實體與環境安全管理

  • 運作安全與密碼學

  • 通訊安全管理

  • 系統獲取、發展與維護管理

  • 供應商關係管理

  • 資訊安全事故管理

  • 營運持續管理

  • 遵循性管理


五、組織與權責

為確保ISMS能有效運作,應明定資訊安全組織及權責,以推動及維持各類管理、執行與查核等工作之進行。


六、實施原則

ISMS之實施應依據規劃(Plan)、執行(Do)、查核(Check)及改善(Act)流程模式,以週而復始、循序漸進的精神,確保資訊業務運作之有效性及持續改善。


七、審查與評估

  1. 本文件應於重大變更或至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部門等最新發展現況,確保資訊安全實務作業之有效性。

  2. 本文件應依據審查結果進行修訂,並經本公司負責人簽核發佈後始生效。

  3. 本文件訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知關注方,如:合作夥伴、所屬員工、供應商等。