資訊安全政策-盟立自動化

資訊安全政策

本公司於2020年成立資訊安全管理委員會，由總裁擔任資安長及集團總召集人，帶領集團對資訊安全制度精進並強化防禦能力，所有資訊作業皆需符合國內、外資訊安全法規，以及國際資安相關標準。

資訊安全政策為

一、確保本公司相關業務資訊之機密性，防止本公司機密資訊及個人資料外洩與遺失。
二、確保本公司相關業務資訊之完整性與可用性，以正確執行本公司作業與各項業務。

管理架構

為提升資訊安全管理，本公司於2020年11月18日召開資訊安全管理委員會、成立資訊安全相關組織，並定期向董事會報告資安治理概況。

於2020年9月設置獨立之資安專責單位「資安防護部」，負責集團資訊安全治理、規劃、督導及推動執行。2020年11月由總裁召集成立「資訊安全管理委員會」，負責審視集團各事業資安治理政策，監督集團資安管理運作情形。2020年12月通過資訊安全政策與資訊安全組織章程。成立資訊安全推動小組、資訊安全處理小組、資訊安全稽核小組，以協助集團各事業單位資訊安全相關工作的推展，資訊安全事件處理與資訊安全各項工作執行的稽核，以集團風險管控角度建構出全方位的資安防衛能力，並持續提昇同仁資訊安全意識。

2022年8月指派高啟清協理擔任資安長，負責推廣資安政策、管理與協調、督導資安事務運作與提報成果。
為確保資訊安全管理系統能有效運作，本公司成立資訊安全委員會，統籌資訊安全管理制度之規劃及推動事宜，執行內容如下：

建立政策與目標。
整合標準要求至本公司管理措施。
提供ISMS所需資源。
溝通有效的資訊安全管理與符合ISMS要求的重要性。
確保ISMS達到預期結果。
指導並支持人員達成ISMS的有效性的人員。
促進持續改進。

資訊安全管理委員會組織架構

20230217

建置步驟

資安政策

本集團資安政策主軸聚焦資安治理、法令遵循及科技運用等三個面向進行評估與規劃。分述如下。

項目	要點	說明
資安治理	落實PDCA循環式品質管理建立資訊安全相關管理制度風險管理與持續改善	建立符合資訊安全管理制度，包含資訊安全組織建立，強化教育訓練，資訊安全系統盤點與調整，以建構及深化保護技術。
法令遵循	定期審查並適時修訂資安相關規範建立合規循環機制	建立合規循環機制、定期檢視及修訂內部作業規範，以符合國際法規及各海外地區法令。
科技運用	風險評鑑&資產保護資安邊界審查&應變對策自動化威脅&防護機制佈署	盤點資訊安全系統弱點，並調整與強化現有防護架構，運用數據分析與鑑識技術，及早發現風險作出安全策略。

資訊安全事件

自2020年6 月6 日集團非核心資通系統遭駭客入侵。事件發生當下，立即啟動相關應變措施及通報利害相關方及檢調單位，此資安事件所帶來的衝擊已於公司容許時限內處理完成、未影響本集團企業營運。
截止至2023年2月7日，未有駭客入侵問題再發生，將持續強化網路基礎設施及防禦設備，識別與控制風險使企業營運不受營運衝擊。

資訊安全執行

一、新竹總公司啟用新資訊機房，提升實體安全工程，包括機房內外牆強化、增設監控系統、移動偵測系統及消防…等工程。
二、集團於2022年擴大資訊安全認證，增加設計中心之設計流程認證，並於同年12月通過第三方公證單位稽核。
三、本公司於2023年2月取得ISO 27001:2013 (ISMS) 資訊安全管理系統國際認證 (含TAF認證)。

強化顧客隱私

盟立集團為促進個人資料合法利用，避免侵害人格權，特別制定隱私保護與強化政策，並承諾恪尊相關法令規章，在不逾越特定目的的必要範圍，及與蒐集目的具有正當合法、合理之關聯下，依誠實、信用及公平之方法、蒐集、處理或利用個人資料。

依法蒐集	盟立僅於執行業務或職務所需，依法令蒐集與處理個人資料，並在蒐集時，依法告知當事人其個人資料利用之期間、地區、對象及方式等事項。	訂定辦法	為落實本政策，盟立訂定「個人資料安全維護管理辦法」，明訂權責人員之作業職掌與責任擔當，並設置管理人員組織，以保護個人資料。
管理維護	對所蒐集、處理或利用之各類個人資料，盟立將建立與維持完整之紀錄或清單；對所保管與處理之個人資料，將採取適當之安全管理措施，防止個人資料被竊取、竄改、毀損、滅失或遺漏，以確保個人資料安全與正確。	第三方使用	委託第三方蒐集、處理與利用個人資料時，盟立將適當監督受委託者，並確認其採取之個人資料管理規範及制度，符合法令與合約之規定。
傳輸運送	盟立尊重當事人對其個人資料之法定權利，如需執行國際傳輸，將會在合法、適當、充分保護之狀況下實施。	例外情況	以上各款若有例外處理，盟立亦僅在「個人資料保護法」及「個人資料保護法施行細則」所允許之情形為之。