# 單元 S1：風險管理思維 - 組織合規風險管理 ## 作業一 請選擇與準備一個 (虛構) 公司背景資料，做為本課程研討活動之討論標的，包含但不限於下列資訊： 1. 公司名稱、人數、地點 :::info 公司名稱: G2 location: 新竹 人數: 5 ::: 3. 公司產品或服務 :::info - 虛擬**單機**寵物遊戲: 培養訓練對戰 (寶X夢?) - 服務地區: 台灣 only ::: 4. 請說明組織中，那些產品或服務有涉及個人或敏感資料 (例如，營業秘密)的處理 - 請描述產品或服務 - 提供放鬆休閒手機app遊戲 - 請準備一份流程圖，說明資料處理的過程 :::info Server 架構: - PaaS - Data flow: - phone(app) -> cloudflare -> server(aws) > db api -  機密資訊: - app程式 (source code) - 虛寶資訊,等級,裝備,道具 - 用戶個人資料: - 手機 - 帳號 - 密碼 - 姓名 - 年齡 - 性別 - 支付資訊: 使用第三方支付 - 第三方支付的credential token - call api ::: 5. 請根據您的案例研討公司現況，修改、更新、補充 ## 作業二 實作建立一個具備 "風險管理思維" 的管理系統中，組織合規風險管理過程： 1. 更新 [ 合規風險與機會評估表 ] 內容。 :::info  https://docs.google.com/spreadsheets/d/1uw1wdJn4Ea1RjCJ4fTyo8kupP0lk2Uz0/edit#gid=1414805607 ::: 3. 請根據標準條款 4.1，列出影響組織達成目標/目的、管理系統預期結果的內部、外部因素： - 至少 3 個，對組織管理系統有正面影響的因素 (可視為條款 6.1 因應風險及機會之行動中的"機會") :::info 1. 疫情影響 (居家隔離) 2. 手機普及, 5G 3. 元宇宙 ::: - 至少 3 個，對組織管理系統有負面影響的因素 (可視為條款 6.1 因應風險及機會之行動中的"風險") :::info 1. 市場競爭 2. 經濟衰退 3. 缺乏組織管理系統所需知識與技能 4. 缺乏高層支持，缺乏所需資源 ::: 4. 請根據標準條款 4.2，列出組織的利益相關方，以及他們對於管理的要求，包含適用的法律、規範、客戶合約(義務)、標準、政策與程序要求等。(請同時考量 附錄 A.18 遵循性的控制目標與控制措施) - 至少 5 個，**法律與法規**， 以及相對應的利益相關方，例如： - 智慧財產權相關，例如，著作權法、商標法、專利法等。 - 組織紀錄相關，例如 商業會計法 (要求保存各項會計帳簿及財務報表紀錄)、證券交易所管理規則...等 - 個人資料與隱私相關，例如 個人資料保護法、歐盟一般數據保護法案 (EU GDPR) 等 - 加/解密政策相關，例如 加密演算法、金鑰管理等 :::info 1. (Customer) 遊戲玩家: 個人資料與隱私相關 - 個人資料保護法 3. (Supplier) 第三方金流 - 要求第三方須有合規的加解密演算法 & key management 5. (Supplier) Cloud service 6. 政府: 1. 遊戲軟體分級管理法, 2. 智慧財產權法, 商業會計法, 3. 網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法 7. Google,Apple 等app平台 ::: - 至少 5 個，組織必須符合的**合約義務**， 以及相對應的利益相關方，例如： - 供應商合約、協議中的資訊安全要求 - 服務合約中的資料保護要求 ::: info 1. 保護個人資訊, 除了在必要的部分使用之外不會揭露給第三方 2. 確保玩家的寶物/裝備/道具（虛擬資產）的完整性 3. Service level: 確保服務的可用性 4. 符合 app 平台上架相關合約規定 5. 準時付錢給 supplier (Cloud service,三方金流公司等) ::: - 至少 5 個，相關標準， 以及相對應的利益相關方，例如： - 國際標準：ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, ISO 22301 等 - 產業規範、標準，例如 ISO/IEC 15408 (Common Criteria), FIPS-140-3, PCI DSS - 技術相關協定、標準，例如 SSL/TLS :::info 1. 資訊安全相關標準：ISO/IEC 27001, ISO/IEC 15408 2. 企業、組織品質管理標準化： ISO 9001 3. 資料儲存與傳輸符合相關的加密規範：SSL/TLS, SHA256 4. 遊戲軟體分級管理辦法: 五級(普、護、輔12、輔15、限) 5. ::: 5. 請說明合規要求的優先順序，以及如何納入管理系統目標？ ::: info 法規法令 > 合約 > 標準 透過定期稽核 PCDA手法持續檢查並改善 ::: ## 作業三 實作建立一個具備 "風險管理思維" 的管理系統中，組織合規風險管理過程： 1. 請根據標準條款 4.3，提出管理系統實施範圍與驗證範圍說明 請參考下列範例，描述管理系統實施範圍與管理系統第三方驗證範圍： - 管理系統認證範圍描述 (驗證證書)："本公司 xxxx 管理系統認證範圍包含 [WHERE 服務運維地點？, i.e. 國家] 的 [WHO 誰？, 例如，公司、部門、功能] 提供給 [WHOM 誰？，例如，地區、產業...等] 的 [WHAT 什麼服務？ 例如，數據中心...] 服務" - 範例 1：本公司資訊安全管理系統 (ISMS) 範圍，包含 由 台灣 的 企業總部 及 委外數據中心 (data center) 所提供給 歐盟地區 合作夥伴的 產品研發平台 及 企業資源管理 (ERP) 服務。 - 範例 2：本公司資訊安全管理系統 (ISMS) 範圍，包含 由 台灣 的 企業總部 及 委外數據中心 (data center) 所提供給 台灣地區 的 網路購物 與 線上支付服務。 :::info 本公司資訊安全管理系統 (ISMS) 範圍，包含台灣的企業總部及委外雲端服務所提供給台灣地區的手機遊戲與透過第三方支付平台的線上支付服務 :::