版本編號:v1.0
發行日期:2020/10/27
修訂日期:2020/10/27
- 目的
鑑於資訊安全乃維繫各項服務安全運作之基礎,為確保睿元國際股份有限公司(以下簡稱本公司)所使用的雲端服務之安全,特訂定雲端服務管理政策(以下簡稱本文件),作為本公司雲端服務管理的最高指導原則。
雲端服務係指雲端服務業者以租借方式提供本公司得承租其網路設備、儲存空間、資安設備、系統軟體、應用程式、分析與計算等資源,以達資源共享之服務。 - 目標
本公司雲端服務管理目標為確保各項服務之機密性(Confidentiality)、完整性 (Integrity)、可用性(Availability)與遵循性(Compliance)符合;各項服務符合「金融科技運用新興科技作業規範第二條-雲端服務安全控管」之規定,以確認雲端服務管理狀況及是否達成雲端服務管理目標。 - 聲明
本文件須符合本公司資訊安全政策,依照資訊安全政策之聲明,需確保雲端服務符合「服務不間斷,資料不外洩,企業永續經營」。 - 適用範圍
本文件考量內部及外部議題、關注方之需要及期望以及本公司活動與其他組織活動間之介面及相依性,適用範圍為與本公司保有租賃關係之雲服務供應商。 - 涵蓋內容
雲端服務管理系統包括內容如下,雲端服務業者就下列事項,應訂定對應之管理規範或實施計畫,並據以實施及定期評估實施成效,本公司將依此審查其是否符合資格:- 雲端服務業者資訊安全組織與管理審查
- 雲端服務業者風險管理措施
- 雲端服務業者文件與記錄管理
- 雲端服務業者資訊安全內部稽核
- 雲端服務業者人力資源安全管理
- 雲端服務業者資產管理
- 雲端服務業者存取控制管理
- 雲端服務業者實體與環境安全管理
- 雲端服務業者運作安全與密碼學技術管理
- 雲端服務業者通訊安全管理
- 雲端服務業者系統獲取、發展與維護管理
- 雲端服務業者資訊安全事故管理
- 雲端服務業者營運持續管理
- 組織與權責
為確保雲端服務管理系統能有效運作,應明定雲服務供應商審查標準,以推動及維持各類管理、執行與查核等工作之進行。 - 實施原則
雲端服務管理系統之實施應依據規劃(Plan)、執行(Do)、查核(Check)及調整(Act)流程模式,以週而復始、循序漸進的精神,確保雲服務供應商運作之有效性及持續性。 - 審查與評估
- 8.1. 本文件應於重大變更或至少每年評估審查一次,以反映相關法令法規、技術、業務及相關部門等最新發展現況,確保雲端服務管理實務作業之有效性。
- 8.2. 本文件應依據審查結果進行修訂,並經本公司負責人簽核發佈後始生效。
- 8.3. 本文件訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知利害關係人,如:合作夥伴、所屬員工、供應商等。
