1. Objectif
Pour assurer la confidentialité, l‘intégrité et la disponibilité des actifs d’information de notre société, et afin de respecter les exigences légales et réglementaires, afin de les protéger contre les menaces intentionnelles ou accidentelles internes et externes, et de préserver les intérêts de notre société.

2. Champ d‘application
La gestion de la sécurité de l’information couvre 14 domaines de sécurité ; éviter les situations où des données peuvent être utilisées, divulguées, altérées ou détruites de manière inappropriée en raison d‘erreurs humaines, d’actes intentionnels ou de catastrophes naturelles, et les risques et les dommages potentiels que cela peut entraîner pour notre société. Les domaines de gestion comprennent :
2.1 Établissement et évaluation des politiques de sécurité de l‘information
2.2 Responsabilités et répartition des tâches en matière de sécurité de l’information au sein de l‘organisation
2.3 Sécurité des ressources humaines et formation
2.4 Gestion des actifs d’information
2.5 Contrôle d‘accès et gestion des mots de passe
2.6 Gestion des mots de passe
2.7 Sécurité physique et environnementale
2.8 Gestion de la sécurité des opérations
2.9 Gestion de la sécurité des réseaux
2.10 Acquisition, développement et maintenance des systèmes d’information
2.11 Gestion de la sécurité des fournisseurs
2.12 Gestion des incidents de sécurité de l‘information
2.13 Gestion de la continuité des opérations
2.14 Conformité (légalité)

3.selon
3.1 ISO/IEC 27001:2013 (Information technology-Security techniques-Information security management systems-Requirements)
3.2 ISO/IEC 27002:2013 (Information technology-Security techniques-Code of practice for information security management)
3.3 Principes de référence pour les services externalisés des agences relevant du Yuan exécutif.
3.4 Loi sur la gestion de la sécurité des communications et des informations.

4. Politique de sécurité de l’information
Afin de garantir la mise en œuvre des divers systèmes de gestion de la sécurité de l‘information de notre société, nous déclarons la devise suivante : "Protection de l’information, mobilisation générale, sécurité des communications et des informations, responsabilité de tous". Cela vise à assurer un fonctionnement sécurisé, une supervision efficace, une gestion continue, et à protéger la confidentialité, l‘intégrité et la disponibilité des systèmes d‘information essentiels de notre société, en publiant cette politique de sécurité de l’information. Cette politique fournit des directives claires aux employés dans leurs activités quotidiennes, garantissant ainsi la protection des intérêts de notre société. Nous espérons que tous les collègues comprendront, mettront en œuvre et maintiendront cette politique afin d’atteindre les objectifs opérationnels de notre société. Les détails de la politique de sécurité de l‘information sont les suivants :
4.1 Renforcement de la formation à la sécurité de l’information pour accroître la sensibilisation
Superviser le travail de sécurité de l‘information des employés, promouvoir le concept de "sécurité de l’information, responsabilité de tous", et mener régulièrement des formations adéquates à la sécurité de l‘information chaque année pour accroître la conscience de la sécurité de l‘information. En cas de violation des règles de sécurité de l’information par les employés, des mesures appropriées seront prises conformément aux règles de sanction et de récompense.
4.2 Mise en œuvre de la sécurité de l’information pour assurer une activité continue
Tous les employés de notre société doivent mettre en œuvre le système de gestion de la sécurité de l‘information pour protéger les actifs informationnels contre les menaces externes et la mauvaise gestion interne afin de prévenir les risques tels que la divulgation, la destruction ou la perte de données. Des mesures de protection appropriées doivent être prises pour réduire les risques à un niveau acceptable. Le système de gestion de la sécurité des informations (ISMS) doit être surveillé, examiné et audité en continu pour assurer la continuité des opérations et atteindre une exploitation durable.

5. Contenu de la politique de sécurité de l’information
5.1 Toutes les réglementations de sécurité de l‘information de notre société doivent respecter les lois et règlements gouvernementaux pertinents (tels que le Code pénal, la Loi sur la protection des secrets d’État, la Loi sur les brevets, la Loi sur les marques de commerce, la Loi sur les droits d‘auteur, la Loi sur la protection des données personnelles, la Loi sur la gestion de la sécurité des communications et des informations, etc.).
5.2 Établir une organisation de gestion de la sécurité de l’information chargée de l‘établissement et de la promotion du système de sécurité de l’information.
5.3 Réaliser régulièrement des formations à la sécurité de l‘information, promouvoir la politique de sécurité de l’information et les règles de mise en œuvre connexes.
5.4 Établir un mécanisme de gestion de l‘utilisation des serveurs et des réseaux pour coordonner la répartition et l’utilisation des ressources.
5.5 Avant la mise en place de nouveaux équipements, prendre en compte les risques et les facteurs de sécurité pour prévenir les situations pouvant nuire à la sécurité du système.
5.6 Établir des mesures de protection de la sécurité des équipements et de l‘environnement des informations importantes.
5.7 Réglementer clairement les autorisations d’utilisation du système réseau pour empêcher tout accès non autorisé.
5.8 Établir un plan d‘audit interne du système de gestion de la sécurité de l‘information, examiner régulièrement l’utilisation du personnel et des équipements dans le cadre du système de gestion de la sécurité de l’information de notre société, et élaborer et mettre en œuvre des mesures correctives et préventives conformément au rapport d‘audit.
5.9 Établir des règles de gestion de la continuité des opérations et les mettre en pratique pour assurer la continuité des activités de notre société.
5.10 Tous les employés de notre société sont responsables de maintenir la sécurité de l’information et doivent respecter les réglementations de gestion de la sécurité de l‘information pertinentes.
5.11 La gestion des informations du système de gestion de la sécurité de l’information doit respecter des règles de gestion claires.

6. Responsabilités
6.1 La direction de notre société est chargée d‘établir et de réviser cette politique.
6.2 Le responsable de la sécurité de l’information met en œuvre cette politique en utilisant des normes et des procédures appropriées.
6.3 Tous les employés et les fournisseurs externes doivent respecter les procédures requises par le système de gestion de la sécurité de l‘information (ISMS) de notre société pour maintenir les normes de cette politique.
6.4 Tous les employés doivent signaler les incidents de sécurité et toute vulnérabilité identifiée.
6.5 Toute violation délibérée des réglementations de sécurité de l’information de notre société et des lois et réglementations sera sanctionnée conformément à la loi.

7. Révision
7.1 Cette politique doit être évaluée au moins une fois par an pour tenir compte des évolutions récentes en matière de lois et réglementations gouvernementales, de technologies et d‘activités, afin de garantir sa pertinence et son efficacité pour maintenir la capacité d’exploitation et fournir des services appropriés.
7.2 Lorsqu‘il y a des changements majeurs dans cette politique, une révision immédiate doit être effectuée pour assurer sa pertinence et son efficacité. Les parties concernées et les fournisseurs partenaires doivent être informés si nécessaire pour faciliter le respect mutuel.

8. Mise en œuvre
La présente politique entre en vigueur à la date de publication après avoir été approuvée par le Directeur de la sécurité de l’information (ou un représentant de la gestion de la sécurité de l‘information) et est communiquée par écrit, par voie électronique ou par tout autre moyen approprié aux employés de la société et aux fournisseurs associés à la société, et est modifiée.

Ce document a été mis à jour pour la dernière fois le 16 août 2021

Bounce World Digital Creativity Co., Ltd