本公司遵循中華民國個人資料保護法相關規範,嚴格保護您的隱私並確保您的個人資料受到保護。本公司將定期更新隱私權政策,以遵循該個人資料保護法,請您參照我們最新版的隱私權聲明。本網站使用cookies以提供更好的瀏覽體驗,如需了解更多關於本網站如何使用cookies 請按 這裏。
人才招募
盟立集團提供各種職缺,包括技術職位和非技術職位
資訊安全政策
本公司於2020年成立資訊安全管理委員會,由總裁擔任集團總召集人,並於2022年8月指派技術中心技術長高啟清協理擔任資訊長,帶領集團對資訊安全制度精進並強化防禦能力,所有資訊作業皆需符合國內、外資訊安全法規,以及國際資安相關標準。
資訊安全政策
本公司資訊安全目標為確保重要及核心系統之機密性(Confidentiality)、完整性 (Integrity)、可用性(Availability)及遵循性(Compliance)。並依各階層與職能定義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。
為達成本公司之任務目標及最高管理階層對資訊安全之期許與要求,確保本公司資訊資產之安全,資訊安全政策訂為:
- 機密性:應避免本公司任何敏感資訊洩露於網際網路。
- 完整性:應確保本公司敏感資料(如:財務資訊、人事資料、系統資訊)之正確性。
- 可用性:應確保本公司所持有的重要資料確實備份。
- 遵循性:應確保本公司避免違反法律、法令、法規或契約義務對資訊安全之要求。
為達成本公司之任務目標及最高管理階層對資訊安全之期許與要求,確保本公司資訊資產之安全,資訊安全政策訂為:
- 確保本公司相關業務資訊之機密性,防止本公司機密資訊及個人資料外洩與遺失。
- 確保本公司相關業務資訊之完整性與可用性,以正確執行本公司作業與各項業務。
- 確保本公司相關業務資訊之遵循性,防止本公司違反法律法規與合約。
本集團資安政策主軸聚焦資安治理、法令遵循及科技運用等三個面向進行評估與規劃。分述如下。
|
項目
|
要點
|
說明
|
|---|---|---|
 資安治理
|
|
建立符合資訊安全管理制度,
包含資訊安全組織建立,強化教育訓練, 資訊安全系統盤點與調整,以建構及深化保護技術。 |
 法令遵循 |
|
建立合規循環機制、
定期檢視及修訂內部作業規範, 以符合國際法規及各海外地區法令。 |
 科技運用
|
|
盤點資訊安全系統弱點,
並調整與強化現有防護架構, 運用數據分析與鑑識技術, 及早發現風險作出安全策略。 |
管理架構
為提升資訊安全管理,本公司於2020年11月18日召開資訊安全管理委員會、成立資訊安全相關組織,並定期向董事會報告資安治理概況。
於2020年9月設置獨立之資安專責單位「資安防護維運部」,並於2024年10月1日升格為「資訊安全管理處」,負責集團資訊安全治理、規劃、督導及推動執行。2020年11月由總裁召集成立「資訊安全管理委員會」,負責審視集團各事業資安治理政策,監督集團資安管理運作情形。2020年12月通過資訊安全政策與資訊安全組織章程。成立資訊安全推動小組、資訊安全處理小組、資訊安全稽核小組,以協助集團各事業單位資訊安全相關工作的推展,資訊安全事件處理與資訊安全各項工作執行的稽核,以集團風險管控角度建構出全方位的資安防衛能力,並持續提昇同仁資訊安全意識。
2022年8月指派高啟清協理擔任資安長,負責推廣資安政策、管理與協調、督導資安事務運作與提報成果。
為確保資訊安全管理系統能有效運作,本公司成立資訊安全委員會,統籌資訊安全管理制度之規劃及推動事宜,執行內容如下:
於2020年9月設置獨立之資安專責單位「資安防護維運部」,並於2024年10月1日升格為「資訊安全管理處」,負責集團資訊安全治理、規劃、督導及推動執行。2020年11月由總裁召集成立「資訊安全管理委員會」,負責審視集團各事業資安治理政策,監督集團資安管理運作情形。2020年12月通過資訊安全政策與資訊安全組織章程。成立資訊安全推動小組、資訊安全處理小組、資訊安全稽核小組,以協助集團各事業單位資訊安全相關工作的推展,資訊安全事件處理與資訊安全各項工作執行的稽核,以集團風險管控角度建構出全方位的資安防衛能力,並持續提昇同仁資訊安全意識。
2022年8月指派高啟清協理擔任資安長,負責推廣資安政策、管理與協調、督導資安事務運作與提報成果。
為確保資訊安全管理系統能有效運作,本公司成立資訊安全委員會,統籌資訊安全管理制度之規劃及推動事宜,執行內容如下:
- 建立政策與目標。
- 整合標準要求至本公司管理措施。
- 提供ISMS執行所需資源。
- 溝通有效的資訊安全管理與符合ISMS要求的重要性。
- 確保ISMS達到預期結果。
- 指導並支持人員達成ISMS有效性的量測指標。
- 促進持續改進。
資訊安全管理委員會組織架構
建置步驟
建置步驟
資訊安全事件
盟立已建置資安事件處理與應變程序,明訂相關流程與措施,包含資安事件通報程序、評估遭受之損失及對策、評估資安風險可能對公司財務與營運的影響及其因應措施。公司透過定期執行營運持續運作演練,落實事前預警、事中防護、事後復原與調查之程序。
資訊安全執行
1、國際標準導入、制度及教育訓練推展
A.2024年5月外聘第三方資安顧問協助轉版ISO 27001:2022(ISMS)資訊安全管理制度續證,認證單位為經管中心、設計中心、銅鑼製造中心及電子發票,同年9月,設計中心有其他業務調整,故移除驗證標的。並於2024年12月5日完成ISO 27001:2022(ISMS)資訊安全管理系統稽核有效性轉版驗證(含TAF認證),已於2025年3月12日取得ISO 27001:2022 (ISMS)資訊安全管理系統國際認證。
B.2024年5月協助輔導子公司(物聯網) ISO 27001:2022新版驗證,並於同年12月30日完成外部稽核。已於2025年1月9日取得ISO 27001:2022 (ISMS)資訊安全管理系統國際認證。
C.每年定期召開4次資安季會,檢視與確認導入與執行成果,遇重要議題變更時,不定期召開資安季會會議。2024年共召開4次資安季會。
D.2024年實施2次全體同仁資安意識提升教育訓練共3個主題,並搭配2次訓練測驗,藉以加深同仁的資安意識。
2、2024年資安改善落實
A.2024年持續改善與導入項目如下表示:
A.2024年5月外聘第三方資安顧問協助轉版ISO 27001:2022(ISMS)資訊安全管理制度續證,認證單位為經管中心、設計中心、銅鑼製造中心及電子發票,同年9月,設計中心有其他業務調整,故移除驗證標的。並於2024年12月5日完成ISO 27001:2022(ISMS)資訊安全管理系統稽核有效性轉版驗證(含TAF認證),已於2025年3月12日取得ISO 27001:2022 (ISMS)資訊安全管理系統國際認證。
B.2024年5月協助輔導子公司(物聯網) ISO 27001:2022新版驗證,並於同年12月30日完成外部稽核。已於2025年1月9日取得ISO 27001:2022 (ISMS)資訊安全管理系統國際認證。
C.每年定期召開4次資安季會,檢視與確認導入與執行成果,遇重要議題變更時,不定期召開資安季會會議。2024年共召開4次資安季會。
D.2024年實施2次全體同仁資安意識提升教育訓練共3個主題,並搭配2次訓練測驗,藉以加深同仁的資安意識。
| 課程名稱 | 日期區間 | 對象 | 應訓人數 | 已訓人數 | 受訓比例 | 上課時數 |
| 2024年資安教育訓練 | 2024/02/01~ 2024/04/01 |
全體員工 |
1,195 | 1,195 | 100% | 1小時 |
| 勒索軟體危害與防護實務教育訓練 | 2024/12/02~ 2024/12/27 |
1,109 |
1,012 |
91% |
2小時 | |
| 資安年度趨勢與真實攻擊案例 | 1小時 |
2、2024年資安改善落實
A.2024年持續改善與導入項目如下表示:
- EDR 與 MDR
- 監控平台
- 特權帳號管理
- 管制Local Administrator
- 禁用USB
- VPN啟動雙因子認證
- 評估主動偵測未發現的漏洞和威脅工具
- 供應商資安規範推行
- 情資管道: 已建立2個情資來源。
- 資安聯防管道:已建立6個資安聯防管道。
強化顧客隱私
盟立集團為促進個人資料合法利用,避免侵害人格權,特別制定隱私保護與強化政策,並承諾恪遵相關法令規章,在不逾越特定目的的必要範圍,及與蒐集目的具有正當合法、合理之關聯下,依誠實、信用 及公平之方法、蒐集、處理或利用個人資料。
 依法蒐集 |
盟立僅於執行業務或職務所需, 依法令蒐集與處理個人 資料,並 在蒐集時,依法告知當事人其個 人資料利用之期間、地區、對象 及方式等事項。 |
 訂定辦法 |
為落實本政策,盟立訂定「個人 資料安全維護管 理辦法」,明訂 權責人員之作業職掌與責任擔當 ,並設置管理人員組織,以保護 個人資料。 |
 管理維護 |
對所蒐集、處理或利用之各類個 人資料,盟立將建立與維持完整 之紀錄或清單;對所保管與處理 之個人資料,將採取適當之安全 管理措施,防止個人資料被竊取 、竄改、毀損、滅失或遺漏,以 確保個人資料安全與正確。 |
 第三方使用 |
委託第三方蒐集、處理與利用個 人資料時,盟立將適當監督受委 託者,並確認其採取之個人資料 管理規範及制度,符合法令與合 約之規定。 |
 傳輸運送 |
盟立尊重當事人對其個人資料 之法定權利,如需執行國際傳 輸,將會在合法、適當、充分 保護之狀況下實施。 |
 例外情況 |
以上各款若有例外處理,盟立 亦僅在「個人資料保護法」及 「個人資料保護法施行細則」 所允許之情形為之。 |