1. 政策目標

STORK Japan 株式会社致力於保護客戶資料和業務資訊的安全。本資訊安全政策建立了完整的安全管理框架，確保B2B採購平台的資訊系統安全、資料完整性以及服務的持續可用性。

2. 資訊安全管理架構

2.1 管理原則

• 機密性（Confidentiality）：確保資訊僅供授權人員存取
• 完整性（Integrity）：維護資料的準確性和完整性
• 可用性（Availability）：保障授權用戶能及時存取資訊和服務

2.2 合規標準

3. 技術安全措施

3.1 網路安全

• 多層防護：部署WAF、DDoS防護、入侵檢測系統
• 網路隔離：DMZ區域隔離、內外網分離架構
• VPN存取：遠端管理採用加密VPN連線
• 流量監控：24/7網路流量異常監測

3.2 資料加密

• 傳輸加密：全站採用SSL/TLS 1.3加密協定
• 儲存加密：敏感資料採用AES-256加密算法
• 金鑰管理：硬體安全模組(HSM)管理加密金鑰
• 端到端加密：關鍵業務通訊採用端到端加密

3.3 系統安全

• 作業系統強化：定期安全更新、最小化安裝原則
• 應用程式安全：安全編碼標準、定期安全測試
• 資料庫安全：權限分級、SQL注入防護、審計日誌
• 容器安全：映像檔掃描、運行時安全監控

4. 存取控制與身份管理

4.1 使用者身份驗證

• 多因素驗證：管理帳戶強制啟用MFA
• 單一登入：企業客戶可整合SSO系統
• 密碼政策：複雜度要求、定期更換機制
• 帳戶鎖定：異常登入自動鎖定保護

4.2 權限管理

• 最小權限原則：用戶僅獲得必要的最小權限
• 角色基礎存取：依職能分配對應權限群組
• 權限審查：定期檢視和更新用戶權限
• 特權帳戶管理：管理員帳戶特別監管機制

5. 資料保護與備份

5.1 資料分類

5.2 備份策略

• 3-2-1備份原則：3份資料副本，2種不同媒體，1份異地備份
• 即時備份：關鍵業務資料即時同步備份
• 加密備份：所有備份資料採用加密保護
• 定期測試：每月執行資料復原測試

6. 事件回應與監控

6.1 安全監控

• SIEM系統：集中化日誌管理與異常偵測
• 即時監控：24小時×365天安全操作中心
• 威脅情報：整合外部威脅情報源
• 行為分析：用戶行為異常偵測系統

6.2 事件處理流程

7. 人員安全管理

7.1 員工教育訓練

• 入職訓練：新進人員資安意識培訓
• 定期訓練：每季度安全知識更新課程
• 社交工程防護：釣魚郵件識別演練
• 安全文化：建立全員參與的安全文化

7.2 第三方管理

• 供應商評估：定期審查合作夥伴安全水準
• 合約要求：安全條款納入合作協議
• 存取管理：嚴格控制外部人員系統存取
• 定期檢查：外部存取權限定期審查

8. 災難復原計畫

8.1 業務持續性

• 復原時間目標(RTO)：關鍵系統4小時內恢復
• 復原點目標(RPO)：資料遺失不超過1小時
• 備援機制：多地區備援資料中心
• 自動切換：主要系統故障自動切換

8.2 測試與演練

• 定期測試：每季執行災難復原演練
• 情境模擬：不同災難情境的復原測試
• 文件更新：依測試結果更新復原程序
• 人員培訓：確保操作人員熟悉復原流程

9. 合規性與稽核

9.1 內部稽核

• 定期稽核：每半年進行內部安全稽核
• 風險評估：年度資訊安全風險分析
• 弱點掃描：每月執行系統弱點檢測
• 滲透測試：年度委外滲透測試

9.2 外部認證

• ISO 27001認證：年度續證與監督稽核
• SOC 2 Type II：第三方安全控制評估
• 法規遵循：定期檢視相關法規要求
• 客戶稽核：支援大型客戶安全稽核需求

10. 通報與溝通

10.1 安全事件通報

如發現資訊安全事件，我們將依照以下時程進行通報：

• 內部通報：事件發現後1小時內通報管理層
• 主管機關：依法規要求時效內通報相關單位
• 客戶通知：涉及客戶資料時72小時內通知
• 公開說明：必要時發布公開聲明說明

10.2 聯絡窗口

11. 政策維護

本資訊安全政策由資訊安全委員會負責維護，每年至少檢討一次。政策修訂時將透過公司網站公告，重大變更會另行通知相關利害關係人。