資訊安全政策
版號資訊：v1.1 發佈日期：2024/05/13

1. 目的

   鑑於資訊安全乃維繫各項服務安全運作之基礎，為確保英屬開曼群島商萬里雲互聯股份有限公司（CLOUD MILE INC.）（以下簡稱本公司）人員、資料、資訊系統、設備及網路之安全，特訂定資訊安全政策（以下簡稱本文件），作為本公司資訊安全管理系統(以下簡稱ISMS)的最高指導原則。本政策適用之範圍為：本公司之分公司及持有之子公司，包括但不限於：英屬開曼群島商萬里雲互聯股份有限公司台灣分公司（Cloud Mile Inc., Taiwan Branch）及萬里雲互聯網路有限公司（Cloud Mile Ltd）。

2. 目標

   本公司資訊安全目標為：確保重要資訊及服務之機密性（Confidentiality）、完整性 （Integrity）、可用性（Availability）與遵循性（Compliance）。並依各階層與職能定義及量測資訊安全績效之量化指標，以確認ISMS實施狀況及是否達成資訊安全目標。

3. 適用範圍

   本 ISMS 考量本公司內部及外部議題、關注方之需要及期望，以及本公司活動與其他組織活動間之介面及相依性，適用範圍為：MSP (Managed Service Provider) 服務之規劃、建置、營運、託管、MileLync軟體開發及作業環境。

4. 對象與責任

   • 所有與本公司適用範圍內之內部人員、服務供應商及訪客等，應遵循本政策及ISMS各項程序。

   • 任何危及資訊安全之行為，將視情節輕重追究其法律及行政責任或依本公司相關規定懲處。

5. 涵蓋內容

   ISMS 包括內容如下，有關單位及人員就下列事項，應訂定對應之管理規範或實施計畫，並據以實施及定期評估實施成效：

   • 資安組織及管理審查程序

   • 文件與記錄管理

   • 資安目標與績效評量

   • 風險管理

   • 資訊安全內部稽核

   • 持續改善

   • 人力資源安全管理

   • 資產管理

   • 存取控制管理

   • 實體與環境安全管理

   • 運作安全與密碼學

   • 通訊安全管理

   • 系統獲取、發展與維護管理

   • 供應商關係管理

   • 資訊安全事故管理

   • 營運持續管理

   • 遵循性管理

6. 組織與權責

   為確保 ISMS 能有效運作，應明定資訊安全組織及權責，以推動及維持各類管理、執行與查核等工作之進行。

7. 實施原則

   • ISMS之實施應依據規劃（Plan）、執行（Do）、查核（Check）及改善（Act）流程模式，以週而復始、循序漸進的精神，確保ISMS及所需過程及其互動之有效性。

   • 需要對ISMS變更時，應以規劃之方式執行變更。

8. 審查與評估

   • 本文件應於重大變更或至少每年評估審查一次，以反映相關法令法規、技術、業務及相關部門等最新發展現況，確保資訊安全實務作業之有效性。

   • 本文件應依據審查結果進行修訂，並經本公司負責人簽核發佈後始生效。

9. 溝通或傳達

   本公司ISMS文件(包含本政策)制定或修訂後，應以網站公告、電子郵件、通訊軟體、文件管理系統、會議或其他可溝通或傳達方式，告知或與內外部關注方溝通，如：內部員工、客戶、合作夥伴、供應商等。