資訊安全手冊 | 美萃思網路開店平台

1.公司簡介與範圍

1.1 公司簡介

總公司名稱：美萃思電商股份有限公司/ Matrix E-commerce Co., Ltd.
地址：台北市信義區嘉興街175巷9弄3號3樓
臺中市西屯區何明里漢口路二段2之1號3樓(2020.08變更)
分公司名稱：鑫龍商務科技份有限公司/ XIN LONG E-commerce Co., Ltd
地址：台北市中山區中山北路2段59巷21號3樓之14。
主要產品與服務：
電子發票系統及相關加值服務系統、電子商務網站資訊軟體、資料處理、電子資訊供應、第三方支付、一般廣告、產品設計研究發展、網路認證、市場研究及民意調查、產業育成業、軟體出版業、無店面零售、其他資料處理、主機及網站代管 (包括網路拍賣平台之服務、雲端電腦機房服務、雲端電腦資料保管服務等)等服務。

1.2 沿革：

鑫龍商務科技份有限公司設立於102年05月22日主要以致力於電子商務網路系統開發，不斷研發各項電商平台所需之系統及專利申請，隨著電商及各企業對網路銷售平台與時蓬勃發展及需求，於104年06月05日結合一群平均年紀低又有活力的年輕人設立美萃思電商股份有限公司，使公司設計研發之各項系統及專利能在電子商務環境創造出更具價值的商業模式，為台灣中小企業提供更好的數位服務。
公司不斷在電商平台系統持續研究發展，並在設計研發完成後，向政府經濟部智慧財產局申請中華民國專利證書，歷年各相關專利證書如下：
107.05.21可降低退貨率的商品購物系統，專利編號-新型第M560636107.05.21基於電子發票整合之平台稽核系統，專利編號-新型第M560632
107.05.21網站頁面釋出系統，專利編號-發明第I624766
107.08.01基於檢核資料庫日誌檔的資安管控系統，專利編號-新型第M564752
107.11.11網路資安偵測方法及實施系統，專利編號-發明第I640894
108.11.11具有環型展示功能的電商系統，專利編號-新型第M586404
109.01.01消費者推薦資訊與採購決策的優化系統，專利編號-新型第M588837
美萃思電商股份有限公司及鑫龍商務科技份有限公司是一間致力於電子商務網路系統開發的公司，現公司擁有台灣10年以上的電子商務實戰經驗優秀的經營團隊，企業文化活潑、熱情並充滿創新，工作環境輕鬆、安全、開放；並以最先進的技術、專研人工智慧與大數據分析，協助合作廠商節省廣告預算，創造最大的商機。長期以來秉持著「打造客戶最專業的電商平台，為客戶創造最高價值」的經營理念，不斷追求企業的永續經營及發展。

1.3 願景及宗旨

本公司的經營宗旨－秉持以「打造客戶最專業的電商平台，為客戶創造最高價值」為努力經營宗旨。更以最先進的技術提供電子商務環境創造出更具價值的商業模式之服務；美萃思/鑫龍若要成功，首先必須先幫助客戶商家成功，那才是真正的成功，這就是我們的品牌服務精神，一同共創雙贏永續經營。今後除仍秉持「落實安全責任、健全資安防護、獲得客戶信賴、確保永續服務」資訊安全政策、及堅持過去一貫的「真誠、態度、責任、專業、服務」的經營理念外，將更強化「資訊安全」的服務精神、不斷提升商務科技活動資訊安全要求，以認真、負責、服務的態度帶領商家走向台灣EC的尖端，創造銷售力高峰、開創電商的新里程。

1.4 範圍：

本公司產品與服務流程，從客戶電商平台需求、客戶協商、業務接單、客戶電商平台軟體設計、設置平台空間及資料庫、平台及資料庫維護管理至客戶資料管理及服務之資訊安全管理系統相關作業流程，產品與服務流程圖如圖1-1。

本手冊適用於本公司資訊安全管理全過程，通過系統的有效應用，包括系統改善之過程，以及保證符合利害相關者和適用的法規要求，以證實本公司具有持續地提供滿足利害相關者和適用法規要求之資訊安全的能力。
依據ISO-27001：2013資訊安全管理系統國際標準要求，建立本手冊，範圍涵蓋本公司電子商務科技活動資訊安全管理系統相關作業流程，驗證範圍-適用於電子發票系統及相關加值服務系統、電子商務科技活動資訊安全之各項業務流程。

1.5 排除條款：

ISO-27001：2013資訊安全管理系統國際標準要求均適用於本公司，無排除條款。

2.組織架構與權責

2.1組織架構：

2.1.1公司組織架構如圖2-1

2.1.2 資訊安全管理委員會組織架構如圖2-2

2.2 權責

2.2.1 執行長
2.2.1.1 指派編成『資訊安全管理委員會』成員，要求資安長負責資訊安全管理系統之適用性、適切性與有效性。
2.2.1.2 制訂資訊安全政策，核准各部門資訊安全目標及文件化資訊。
2.2.1.3 推動及履行資訊安全管理系統領導與承諾
2.2.1.4 提供必要資源，使資訊安全管理系統持續有效。
2.2.1.5 採取各項風險與機會最適作為，積極提升利害相關者資訊安全要求。
2.2.1.6 開發潛在客戶，提升營運績效。

2.2.2 資訊安全管理委員會
2.2.2.1 決定公司資訊安全管理規劃和策略。
2.2.2.2 全面指導公司各項客戶平台系統安全、資訊安全、設計研發等工作。
2.2.2.3 綜理及督導公司各部門資訊安全風險與機會、風險評鑑、風險處理、資訊安全控制措施、緊急應變等各項作業推動及執行。
2.2.2.4 決議處理涉及公司重大利益或影響較大的資訊安全事件。
2.2.2.5 定期及不定期召開資訊安全安風險管理會議及管理審查會議。
2.2.2.6 由各部門組成『資訊安全管理委員會』，推展公司各項資訊安管理事宜。

2.2.2.7 資安長
(1)由執行長任命，負責襄助執行長綜理資訊安全管理系統各項管理事宜。
(2)督導及管理『資訊安全管理委員會』推展公司各項資訊安全政策及目標執行。
(3)負責督導及推動資訊安全管理系統各作業流程之適用性、適切性與有效性全般事宜。
(4)審查資訊安全管理系統文件化資訊。
(5)督導文管人員落實資訊安全文件化資訊管理。

2.2.2.8 資訊安全管理小組
(1)在各單位負責執行公司資訊安全管理執行事宜。
(2)制訂各單位資訊安全管理程序及辦法，並定期檢查評估各部門執行情況。
(3)負責提升所屬單位員工資訊安全意識，並辦理單位資訊安全相關訓練。
(4)建立風險管理制度，執行風險管理。
(5)建立安全事件通報、緊急應變暨復原措施、所屬單位的資訊安全緊急事件的監測反應系統。
(5)及時處理並矯正資訊安全管理違規違紀行為。
(6)執行資訊安全管理委員會交辦之其他工作。

2.2.2.9 資訊安全稽核小組
(1)擬定資訊安全內部稽核計畫。
(2)執行資訊安全內部稽核。
(3)撰寫資訊安全稽核報告。
(4)追蹤缺失事項之執行情形。

2.2.3 管理部
2.2.3.1 部門資產管理、風險管控、資訊安全控制措施、文件化資訊撰擬、修訂及執行。
2.2.3.2 負責資訊安全管理系統中，人力資源、教育訓練、資訊行政管理、文件化資訊管控、財務會計、進出帳目、薪酬管理、採購外包(承攬)、廠商評核、庫儲管理
等相關作業流程之適用性、適切性與有效性。
2.2.3.3 建置文管人員執行資訊安全管理系統文件化資訊管理事宜。
2.2.3.4 配合『資訊安全管理委員會』執行各項資訊安管理事宜。
2.2.3.5 維持管理部文件化資訊（含資訊安全紀錄登載、保存、作廢監燬）。
2.2.3.6 採取具體作為，有效達成部門資訊安全目標。

2.2.4 資訊部
2.2.4.1 部門資產管理、風險管控、資訊安全控制措施、文件化資訊撰擬、修訂及執行。
2.2.4.2 負責訊安全管理系統中，各項軟硬體維護管理、環境、管制監督執行、資產管理、設計研發、事件處理、矯正措施、資訊安全等相關作業流程之適用性、適切性與有效性。
2.2.4.3 配合『資訊安全管理委員會』執行各項資訊安管理事宜。
2.2.4.4 維持資訊部文件化資訊（含資訊安全紀錄登載、保存、作廢監燬）。
2.2.4.5 採取具體作為，有效達成部門資訊安全目標。

2.2.5 業務部
2.2.5.1 部門資產管理、風險管控、資訊安全控制措施、文件化資訊撰擬、修訂及執行。
2.2.5.2 負責資訊安全管理系統中，包含客戶開發、客戶訂單合約、客訴處理、客戶溝通、售後服務等相關作業流程之適用性、適切性與有效性。
2.2.5.3 配合『資訊安全管理委員會』執行各項資訊安管理事宜。
2.2.5.4 維持採購部文件化資訊（含資訊安全紀錄登載、保存、作廢監燬）。
2.2.5.5 採取具體作為，有效達成部門資訊安全目標。
2.2.6 有關資訊安全管理委員會組織職掌除依上述相關組織權責事項辦理外，另依『資安組織架構與職責管理程序』之規定辦理。

3. 資訊安全政策

4.組織的環境

4.1 了解組織及其環境

4.1.1 公司應確定與其宗旨(目的)及策略方向直接相關，且影響資訊安全管理系統實現其預期結果的能力之內部及外部情況。
4.1.2 公司應監視及審查有關內部及外部情況的資訊。
4.1.3 在確定有關內部和外部環境情況，公司應考慮事項如下：
4.1.3.1 評估組織的外部所處環節可包括，但不侷限於下列：
－無論是國際、國家、區域抑或地方的文化、社會、政治、法令、規章、財務、技術、經濟、天然及競爭環境。
－對組織的目標具有衝擊影響之主要推動者與趨勢。
－與外部利害相關者的關係，以及外部利害相關者之感受與價值。
4.1.3.2 評估組織的內部所處環節可包括，但不侷限於下列：
－治理、組織之結構、角色及當責。
－政策、目標，以及可達成政策與目標的策略。
－由資源與知識(例：資金、時間、人員、過程、系統及技術)的觀點所瞭解的能力。
－資訊系統、資訊流及決策過程(正式與非正式兩者)。
－與內部利害相關者的關係，及其感受與價值觀。
－組織的文化。
－組織所採用的標準、指導綱要及模式，及合約關係之形式與範圍。
4.1.4 公司領導層確定企業目標和策略方向，通過各部門收集資訊、識別、分析和評價，公司管理會議討論研究，明確公司目標和策略方向相關的各種外部和內部因素。
4.1.5 公司通過實施、制訂『6.1處理風險和機會的措施』，明確資訊安全作業環境分析的職責，相應的準則，並運用適宜的方法對內部和外部因素的相關資訊進行監視和評審，確保充分識別風險，消除風險，降低或減緩風險，充分利用可能的發展機會，保證實現公司效益與資訊安全管理系統預期結果。
4.1.6 了解組織及其環境依『資產鑑別與風險評估管理程序』辦理。

4.2 了解利害相關者需求及期望

4.2.1 由於對公司持續提供符合資訊安全及適用之法令法規要求的服務之能力的影響或潛在影響，公司應確定：
a)與資訊安全管理系統直接相關的利益相關者；
b)此等利害相關者的資訊安全之要求事項。
註：相關方的要求可能包括法律法規的要求以及契約義務。
4.2.2 公司應監視及審查直接相關利益相關者及其有關要求的資訊。
4.2.3 公司依上述要求檢討有關利益相關者，各單位可藉由各項業務連繫、會議、意見反應、抱怨處理、評估等方式了解內、外部利害相關者的需求及期望，並定期實施溝通、監視及審查，並將有關影響公司重大項目納入風險及危害鑑別措施管控，以符合利害相關者要求及預防潛在問題之發生。
4.2.4 了解工作者與利害相關者需求及期望依『資產鑑別與風險評估管理程序』辦理。

4.3 確定資訊安全管理系統範圍

4.3.1 公司應確定資訊安全管理系統的邊界及適用性來建立其範圍。在確定資訊安全管理系統範圍時，組織應考慮：
a) 在4.1中涉及的外部及內部情況；
b) 在4.2中涉及的有關利益相關者要求；
c) 公司內的活動以及由其他組織執行的活動間的介面和依賴關係。
4.3.3 公司資訊安全管理系統範圍，已於本手冊明確訂定資訊安全管理系統的邊界和適用性，並可揭露於公司網站、驗證證書，可獲取及保持文件化資訊。
4.3.4 本公司為電子商務科技活動各項服務相關作業流程。特依照ISO 27001：2013資訊安全管理系統標準制訂，並依資訊安全管理系統標準之要求，建立、文件化、實施及維持，適用於ISO-27001：2013資訊安全管理系統國際標準各條款。

4.4 資訊安全管理系統及其過程

4.4.1 本公司應按資訊安全體系標準的要求，並運用PDCA的方法建立、實施、維持和持續改善資訊安全管理系統、過程及其相互作用，過程要素及PDCA循環展示圖如圖1~圖3：

4.4.2 公司應按照本標準的要求建立、實施、保持和持續改善資訊安全管理系統，確定所需的領導、規劃、支持、運作、績效評估和改善等過程及其在整個組織內的應用。

4.4.3 依資訊安全管理系統標準訂定資訊安全管理相互作用關聯圖如圖3。

4.4.5 針對公司各部門於制定資訊安全目標或規劃部門管理項目時，依過程類別訂定相應績效指標於計畫執行期間定期檢討其績效，以確認每一過程持續滿足預期目的的能力。最高管理者應於管理審查會時針對各作業過程評估及檢討過程執行之有效性。
4.4.6 公司應依據標準要求，結合實際需要制定有關文件資訊：
a）依據產品和服務特性，制定相應的程序文件、管理規範、作業標準、檢驗標準等系統文件，支援資訊安全管理系統各過程運作；
b）保留確認過程按規劃進行的文件化證據。
4.4.7 有關資訊安全管理系統條文、過程與各部門權責關聯表如附件一。
4.4.8 有關資訊安全管理系統條文、過程與程序文件對照表如附件二。

5.領導

5.1 領導與承諾

最高管理者針對公司資訊安全管理系統的重要性，通過實施以下活動體現其領導與承諾：
a)確保資訊安全方針和資訊安全目標的制定，並與組織的戰略方向相一致；
b)確保將ISMS的要求整合到組織之各項工作過程中；；
c)確保提供ISMS所需要的資源；
d)傳達資訊安全管理有效執行並符合ISMS 要求的重要性；
e)確保ISMS達到其預期的效果；
f)指導和支持員工對ISMS 做出有效的貢獻；
g)促進持續改善；
h)支持其他相關管理角色在其職責範圍內展現其領導作用。

5.2 資訊安全政策

最高管理者應建立，並維持資訊安全政策(如本手冊3.1所述)：
a)適合於組織的目標；
b)包括資訊安全目標(見6.2)，或為建立資訊安全目標提供框架；
c)包括滿足與資訊安全相關的合理要求的承諾；
d)包括ISMS 持續改善的承諾。
資訊安全的政策應：
e)形成文件化的資訊；
f)在組織內溝通；以及
g)適用時，提供給相關者。

5.3 組織的角色、責任及職權

5.3.1 公司依據職能建立組織架構，確保整個組織內相關部門的職責、授權得到分派、溝通和理解，對有關資訊安全管理之部門、人員之權責應以文件加以規定並告知（見本手冊2.1組織架構圖和2.2權責）。
5.3.2 最高管理者應為以下活動分配責任和許可權：
a)確保資訊安全管理系統符合本國際標準的要求；
b)將資訊安全管理系統的績效報告給最高管理者。
註：最高管理者可以授權組織內的其他人員負責資訊安全管理系統的績效報告。

6.規劃

6.1 處理風險及機會的措施

6.1.1 公司規劃資訊安全管理系統時，應考慮4.1(前後環節)所提及議題、4.2(利害相關者)所提要求及4.3資訊安全管理系統範圍，並決定需要處理的風險及機會以：
a)確保資訊安全管理系統能夠達到預期結果；
b)防止或減少不良影響；以及
c)達到持續改善。
組織應策劃：
d)處理這些風險及機會之行動；以及
e)執行下列事項之方法：
1)將各項行動整合及實施於ISMS過程中；以及
2)評估此等行動之有效性。
6.1.2 資訊安全風險評鑑
6.1.2.1 公司應確定及應用資訊安全風險評鑑過程於下列事項中：
a)建立和保持資訊安全風險的準則，包括：
1)風險接受準則；以及
2)實施資訊安全風險評鑑之準則；
b)確保重複之資訊安全風險評鑑過程能產生一致的，有效的及適切之結果；
c)識別資訊安全風險：
1)應用資訊安全風險評估過程，以識別資訊安全管理系統範圍內的資訊漏失機密性、完整性及可用性相關聯之風險；以及
2)識別風險的擁有者；
d)分析資訊安全風險：
1)評鑑若6.1.2 c)1)所識別之風險發生時，可能導致潛在後果；
2)評鑑6.1.2 c)1)所識別風險發生的可能性；
3)確定風險等級；
e)評價資訊安全風險：
1)依6.1.2 a)所建立風險準則，比較風險分析的結果；以及
2)確定已分析風險的處置優先次序。
6.1.2.2 公司應保留資訊安全風險評鑑過程中之文件化資訊。
6.1.3 資訊安全風險處理
6.1.3.1 公司應定義並利用資訊安全風險處置過程，以：
a)考慮風險評鑑的結果，選擇適切之資訊安全風險處理選項；
b)確定所選定資訊安全風險處理選項；決定所有必須實施之控制措施；
註：公司可依要求設計控制措施，或從任何來源中識別。
c)將6.1.3 b)中所決定之控制措施中與附錄A中之控制措施進行比較，以確認未遺漏必要的控制措施；
註1：附錄A中包含控制目標和控制措施之完整列表。本國際標準的使用者應注意附錄A，以確保沒有忽略重要的控制措施。
註2：控制目標應隱含在所選擇的控制措施中。附錄A所列之控制目標和控制措施並未盡列，可能還需要額外的控制目標及控制措施。
d)制定適用性聲明，包含：
－必要控制措施(見6.1.3 b)及c))；
－提供納入之理由；
－且不論是否實施，以及
－由附錄A中排除之理由；
e)制定資訊安全風險處理計畫；以及
f)取得風險擁有者對資訊安全風險處理計畫之核准，以及對殘餘風險之接受。
6.1.3.2 公司應保留資訊安全風險的處理過程中之文件化資訊。
6.1.4 資訊安全管理系統風險與機會的措施，依『資產鑑別與風險評估管理程序』及『適用性聲明書』之規定執行。

6.2 資訊安全目標及達成規劃

6.2.1 公司在資訊安全管理系統的相關部門及階層上建立資訊安全目標。
6.2.2 資訊安全目標應：
a)與資訊安全政策一致；
b)可測量(如可行時)；
c)考量適用之資訊安全要求，以及風險評鑑及處理結果；
d)得到溝通的；以及
e)適當時進行更新。
6.2.3 公司應保留資訊安全目標相關之文件化資訊。
6.2.4 公司規劃達成其資訊安全目標時，應確定：
a)要做什麼；
b)需要什麼資源；
c)由誰負責；
d)何時候完成；
e)如何評估結果。
6.2.5 資訊安全目標及達成規劃，依『目標達成規劃管理程序』之規定執行。

7.支援

7.1 資源

公司應決定與提供建立、實施、維持及持續改善資訊安全管理系統所需的資源。

7.2 能力

本公司制定『人員安全與教育訓練管理程序』，對下列措施進行管制：
a)確定在公司管制下從事影響資訊安全管理系統績效及有效性工作者必要的能力；
b)確保此等人員於適當的教育、訓練或經驗基礎上能勝任；
c)在適當情況下，採取以獲得必要能力之行動，並評估所採取行動之有效性；以及
d)保留適當的文件化資訊作為能力的證據。
註：適用的措施可以包括：例如：提供訓練、專人教導或重新分派在職工作者工作；或聘用或約聘勝任的人員。

7.3 認知

7.3.1 公司資訊安全管理系統為提高全員資訊安全認知，運用多種形式宣傳教育，確保相關工作人員認知下列事項：
a)資訊安全政策；
b)對資訊安全管理系統有效性的貢獻，包括提高資訊安全績效的益處；
d)不符合資訊安全管理系統要求可能產生影響。
7.3.2 資訊安全管理系統人員認知依『人員安全與教育訓練管理程序』辦理。

7.4 溝通

7.4.1 公司應決定，相關資訊安全管理系統內外部相關溝通或傳達之需求，包括下列事項：
a)溝通或傳達事項；
b)溝通或傳達時間；
c)溝通或傳達對象；
d)溝通或傳達人員；以及
e)進行有效溝通或傳達所採取過程。
7.4.6 有關的內部及外部溝通依據『溝通管理程序』之規定實施。

7.5 文件化資訊

7.5.1 總則
7.5.1.1 公司的資訊安全管理系統應包括：
a)本標準要求的文件化資訊；
b)公司為確保資訊安全管理系統有效運作應確定所需的文件化資訊。
註：不同公司資訊安全管理系統文件化資訊的程度，可以因下列因素而不同：
-組織的規模、活動、過程、產品及服務的類型；
-過程複雜程度及其相互作用；
-人員的能力。
7.5.1.2 依本公司要求之過程、作業和管制所建立之文件化資訊。
7.5.1.3 文件係依本公司之組織規模及型態、過程的複雜性及作用、人員的能力、相關的法令及產業標準所建立。
7.5.1.4 以資訊安全管理系統文件架構與職責分工，規劃資訊安全文件資訊。分為第一階文件（手冊）、第二階文件（程序書）、第三階文件（標準類：如作業指導書、要點等）、及第四階文件（空白表單）。
7.5.1.5 文件資訊包括任何格式或形式的媒體。
7.5.2 建立及更新
公司在建立及更新文件時，應確保適當的：
a)標識及說明(例如：標題、日期、作者、文件編號等)；
b)格式(例如：語言、軟體版本、圖示)及媒體(例如：紙本、電子資料)；
c)審查及批准以確保適宜性及充分性。
7.5.3 文件化資訊的管制
7.5.3.1 應對資訊安全管理系統及本標準所要求的文件化資訊進行管制，以確保：
a)在需要使用文件之處及之時能獲得適用的文件；
b)文件得到充分地保護(例：防止損及機密性、不當使用，或漏失其完整性)。
7.5.3.2 適用時，公司應實施以下活動對文件化資訊進行管制：
a)分發、獲取、檢索及使用；
b)儲存、保護，包括保持清晰；
c)更改的管制（如：版本管制）；
d) 保留及處置。
7.5.3.3 公司確定資訊安全管理系統規劃及運作所需的外來文件應得到適當的識別及管制。
7.5.3.4 保留作為符合性證據的文件資訊應受到保護，以避免受到非預期的更改。
註：存取意指著一個決定，關乎文件化資訊僅作借閱的許可、或是文件化資訊借閱和變更之許可與職權等等。
7.5.4 有關資訊安全管理系統文件編制、更新及管制依據『文件資訊管理程序』之規定實施。

8.運作

8.1 運作規劃及管制

8.1.1 公司資訊安全管理系統應規劃、實施和管制達成資訊安全要求所需的過程，並實施在6.1 中所確定的行動。組織還應當實施各項計畫，以達成資訊安全在6.2中所決定之資訊安全目標。
8.1.2 公司應保留相關之文件化資訊，以保證過程是依規畫實施。
8.1.3 公司應管制所規畫之變更，並審查非預期變更之後果，並採取適當措施以減輕任何不良影響。
8.1.4 公司應確保委外過程是經確定並受管制。
8.1.5 有關公司服務過程運作規劃及管制依據『資訊安全作業管理程序』、『存取控制管理程序』、『』系統開發與維護安全管理程序、『資訊系統機房管理程序』、『委外廠商及參訪資通安全管理程序』、『實體區域管理程序』、『安全及失效事件處理作業程序』、『商業秘密保護程序』、『網際網路安全管理程序』、『業務持續管理程序』及各三階文件之規定實施。

8.2 資訊安全風險評鑑

8.2.1 公司應按規劃之時期，或當提議或發生重大變更時，考量6.1.2 a)中所建立的準則，進行資訊安全風險評鑑。
8.2.2 公司應保留資訊安全風險評鑑結果的相關文件化資訊。
8.2.3 有關公司資訊安全風險評鑑依據『資產鑑別與風險評估管理程序』之規定實施。

8.3 資訊安全風險處理

8.3.1 公司組織應實施資訊安全風險處理計畫。
8.3.2 公司組織應保留資訊安全風險處理結果的文件化資訊。
8.3.3 有關公司資訊安全風險處理依據『資產鑑別與風險評估管理程序』之規定實施。

9.績效評估

9.1 資訊安全管理系統監視、測量、分析及評估

9.1.1 總則
9.1.1.1 公司應確定：
a) 所需要的監視及測量；
b) 所需的監視、測量、分析及評估方法，以確保有效的結果；
c) 實施監視及測量的時機；
d) 分析及評估監視及測量結果之時機。
9.1.1.2 公司為能評估資訊安全管理系統績效及有效性，訂定統計週期執行統計，當過程績效執行未達預期目標，應立即提出改善方案，確保各過程績效達成；另於管理審查會議前彙整過程績效統計分析報告，以評估資訊安全管理系統績效及有效性，並保留適當的文件資訊作為結果的證據。
9.1.1.3 有關資訊安全管理系統過程績效監視、測量、分析及評估依據『監督量測分析評估管理程序』之規定實施。

9.2 內部稽核

9.2.1 公司應按規劃的時間間隔進行內部稽核，以能提供資訊判斷資訊安全管理系統是否：
a) 符合：
1) 組織對其資訊安全管理系統的要求，包括資訊安全政策及目標；
2) 本標準的要求；
b) 得到有效執行及維持。
9.2.2 內部稽核方案，公司應：
a) 規劃、建立、實施及維持稽核方案，包括稽核的頻次、方法、責任、規劃要求及報告編制，稽核方案應考慮有關過程的重要性、影響組織的變化及以往稽核的結果；
b) 界定每次稽核的準則及範圍；
c) 選擇稽核員執行稽核，確保稽核過程的客觀性及公正性；
d) 確保稽核結果呈報相關的管理階層；職安衛管理系統確保稽核結果向相關的工作者，若已經指派，包括工作者代表及相關的利害相關者報告；
e) 採取因應不符合及持續改善資訊安全績效的措施；
f) 保持文件化資訊，作為稽核方案執行及稽核結果的佐證。
9.2.3 有關資訊安全管理系統內部稽核執行依據『內部稽核管理程序』之規定實施。

9.3 管理審查

9.3.1 總則
公司最高管理者應定期審查公司資訊安全管理系統，以確保其持續的適宜性、充分性及有效性，並與組織的策略方向保持一致。
9.3.2 資訊安全管理系統管理審查輸入規劃及實施管理審查時應考慮：
a)檢討上次管理審查會議決議案執行結果。
b)與資訊安全管理系統有關的外內部環境議題及變更。
c)資訊安全管理系統績效及回饋，包括以下趨勢：
1)不合格和矯正措施；
2)監視和測量結果；
3)稽核結果；
4)資訊安全目標之達成狀況；
d)利害相關者之回饋。
e)風險評估的結果和風險處理計畫狀況。
f)持續改善機會。
9.3.3 資訊安全管理系統管理審查輸出應包括以下方面有關的決定及措施：
a)持續改善的機會；
b)變更資訊安全管理系統的任何需求；
c)資源需求。
9.3.4 公司應保持文件化資訊，作為管理審查的結果的佐證。
9.3.5 有關資訊安全管理系統管理審查執行依據『管理審查管理程序』之規定實施。

10.改善

10.1 不符合事項矯正措施

10.1.1 當發生不符合事項時，組織應進行下列事項。
(a)對不符合事項回應，且適用時進行下列事項。
(1)採取措施以管制與矯正不符合事項。
(2)處理此等後果。
(b)藉由下列作為，評估對消除不符合事項原因之需要，使其不再發生且不在他處發生。
(1)審查此不符合事項。
(2)決定不符合事項之原因。
(3)決定是否有類似之不符合存有，或有可能發生；
(c)實施所需的任何措施。
(d)審查所採行矯正措施之有效性。
(e)若必要時，對資訊安全管理系統作出變更。
10.1.2 矯正措施應適合所遭遇的不符合事項。
10.1.3 公司應保留文件化資訊，以作為下列事項之證據：
f)不符合事項之性質及後續所採取之所有措施。
g)所有矯正措施之結果。
10.1.4 有關資訊安全管理系統不合格及矯正措施依據『矯正措施管理程序』之規定實施。
10.2 持續改善
10.2.1 公司應持續改善資訊安全管理系統的適切性、充分性及有效性。
10.2.2 有關資訊安全管理系統持續改善執行依據『持續改善管理程序』之規定實施。

附件三：ISO 27001:2013資訊安全管理系統要項與權責對照表

ISO 27001:2013 條文要求	權責單位（◎主要/○相關）
ISO 27001:2013 條文要求	最高管理者 (資安長)	資委會	管理部	資訊部	業務部
4. 組織的環境
4.1 了解組織及其環境	◎	◎	○	○	○
4.2 了解利害相關者需求及期望	◎	◎	○	○	○
4.3 確定資訊安全管理系統範圍	◎	◎	○	○	○
4.4 資訊安全管理系統及其過程	◎	◎	○	○	○
5. 領導
5.1 領導及承諾	◎	◎	○	○	○
5.2 資訊安全政策	◎	◎	○	○	○
5.3 組織的角色、責任及職權	◎	◎	○	○	○
6. 資訊安全管理系統規劃
6.1 處理風險及機會的措施	◎	◎	○	○	○
6.2 資訊安全目標及達成規劃	◎	◎	○	○	○
7. 支持
7.1 資源	◎	○	◎	○	○
7.2 能力	○	○	◎	○	○
7.3 認知	○	○	◎	◎	○
7.4 溝通	◎	◎	○	○	○
7.5 文件化資訊	○	○	◎	○	○
8.運作
8.1 運作之規劃及管制	○	◎	◎	◎	○
8.2 資訊安全風險評鑑	○	◎	◎	◎	○
8.3 資訊安全風險處理	○	◎	◎	◎	○
9. 績效評估
9.1 監視、測量、分析及評估	◎	◎	○	◎	○
9.2 內部稽核	◎	◎	○	○	○
9.3 管理審查	◎	◎	○	○	○
10. 改善
10.1 不符合事項及矯正措施	◎	◎	○	○	○
10.2 持續改善	◎	◎	○	○	○

ISO 27001:2013 條文要求	權責單位（◎主要/○相關）
ISO 27001:2013 條文要求	最高管理者 (資安長)	資委會	管理部	資訊部	業務部
附錄A 控制目標和控制措施
A.5 資訊安全政策	◎	○	○	○	○
A.6 資訊安全之組織	◎	○	○	○	○
A.7 人力資源安全	○	◎	◎	◎	○
A.8 資產管理	○	◎	◎	◎	○
A.9存取控制	○	◎	○	◎	○
A.10 密碼學(加密控制)	○	◎	○	◎	○
A.11 實體及環境安全	○	◎	○	◎	○
A.12 運作安全	○	◎	◎	◎	○
A.13 通訊安全	○	◎	◎	◎	○
A.14 系統獲取、開發及維護	○	◎	○	◎	○
A.15 供應者關係	○	○	◎	◎	○
A.16 資訊安全事故管理	◎	◎	○	◎	○
A.17 營運持續管理之資訊安全層面	◎	◎	○	◎	○
A.18 遵循性	◎	◎	○	◎	○

附件四：ISO 2701:2013資訊安全管理系統與程序文件對照表

章	ISO 27001:2013條文要求	程序/標準書	文件編號
4. 組織的環境	4.1 了解組織及其環境	資訊安全手冊資產鑑別與風險評估管理程序	ISM IP-601
	4.2 了解利害相關者需求及期望	資訊安全手冊資產鑑別與風險評估管理程序	ISM IP-601
	4.3 確定資訊安全管理系統範圍	資訊安全手冊	ISM
	4.4 資訊安全管理系統	資訊安全手冊	ISM
5. 領導	5.1 領導及承諾	資訊安全手冊	ISM
	5.2 資訊安全政策	資訊安全手冊	ISM
	5.3 組織的角色、責任及職權	資訊安全手冊資安組織架構與職責管理程序	ISM IP-501
6. 資訊安全管理系統規劃	6.1 處理風險及機會的措施	資產鑑別與風險評估管理程序適用性聲明書	IP-601 IP-602
6. 資訊安全管理系統規劃	6.2 資訊安全目標及達成規劃	目標達成規劃管理程序	IP-603
7. 支持	7.1 資源	人員安全與教育訓練管理程序機器設備及環境管理程序	IP-701 IP-702
	7.2 能力	人員安全與教育訓練管理程序	IP-701
	7.3 認知	人員安全與教育訓練管理程序溝通管理程序	IP-701 IP-703
	7.4 溝通	溝通管理程序	IP-703
	7.5 文件化資訊	文件資訊管理程序	IP-704

章	ISO 27001:2013條文要求	程序/標準書	文件編號
8. 運作	8.1 運作規劃及管制	資訊安全作業管理程序存取控制管理程序系統開發與維護安全管理程序資訊系統機房管理程序委外廠商及參訪資通安全管理程序實體區域管理程序安全及失效事件處理作業程序商業秘密保護程序網際網路安全管理程序業務持續管理程序採購與供應商管理程序	IP-801 IP-802 IP-803 IP-804 IP-805 IP-806 IP-807 IP-808 IP-809 IP-810 IP-811
	8.2 資訊安全風險評鑑	資產鑑別與風險評估管理程序	IP-601
	8.3 資訊安全風險處理	資產鑑別與風險評估管理程序	IP-601
9. 績效評估	9.1 監視、測量、分析及評估	監督量測分析評估管理程序	IP-901
	9.2 內部稽核	內部稽核管理程序	IP-902
	9.3 管理審查	管理審查管理程序	IP-903
10. 改善	10.1 不符合事項及矯正措施	矯正措施管理程序	IP-1001
10. 改善	10.2 持續改善	持續改善管理程序	IP-1002

章	ISO 27001:2013條文要求	程序/標準書	文件編號
附錄 A 控制措施	A.5 資訊安全政策	資訊安全手冊	ISM
	A.6 資訊安全之組織	資訊安全手冊資產鑑別與風險評估管理程序	ISM IP-501
	A.7 人力資源安全	人員安全與教育訓練管理程序	IP-701
	A.8 資產管理	資產鑑別與風險評估管理程序資訊資產異動作業辦法	IP-601 IW-802
	A.9 存取控制	存取控制管理程序	IP-802
	A.10 密碼學(加密控制)	資訊安全作業管理程序存取控制管理程序系統開發與維護安全管理程序網際網路安全管理程序	IP-801 IP-802 IP-803 IP-809
	A.11 實體及環境安全	資訊安全作業管理程序實體區域管理程序	IP-801 IP-806
	A.12 運作安全	資訊安全作業管理程序網際網路安全管理程序	IP-801 IP-809
	A.13 通訊安全	資訊安全作業管理程序網際網路安全管理程序	IP-801 IP-809
	A.14 系統獲取、開發及維護	系統開發與維護安全管理程序	IP-803
	A.15 供應者關係	委外廠商及參訪資通安全管理程序採購與供應商管理程序	IP-805 IP-811
	A.16 資訊安全事故管理	資訊安全作業管理程序矯正措施管理程序資訊安全緊急應變管理辦法機房斷電恢復作業標準書等9項標準書	IP-801 IP-1001 IW-801 IW-803~ IW-811
	A.17 營運持續管理之資訊安全層面	業務持續管理程序資訊安全緊急應變管理辦法機房斷電恢復作業標準書等9項標準書	IP-810 IW-801 IW-803~ IW-811
	A.18 遵循性	資訊安全手冊人員安全與教育訓練管理程序商業秘密保護程序	ISM IP-701 IP-808