資訊安全政策

本公司於2020年成立資訊安全管理委員會,由總裁擔任集團總召集人,並於2022年8月指派技術中心技術長高啟清協理擔任資訊長,帶領集團對資訊安全制度精進並強化防禦能力,所有資訊作業皆需符合國內、外資訊安全法規,以及國際資安相關標準。
 
資訊安全政策為
一、 確保本公司相關業務資訊之機密性, 防止本公司機密資訊及個人資料外洩與遺失。
二、 確保本公司相關業務資訊之完整性與可用性,以正確執行本公司作業與各項業務。

管理架構

為提升資訊安全管理,本公司於2020年11月18日召開資訊安全管理委員會、成立資訊安全相關組織,並定期向董事會報告資安治理概況。

於2020年9月設置獨立之資安專責單位「資安防護維運部」,負責集團資訊安全治理、規劃、督導及推動執行。2020年11月由總裁召集成立「資訊安全管理委員會」,負責審視集團各事業資安治理政策,監督集團資安管理運作情形。2020年12月通過資訊安全政策與資訊安全組織章程。成立資訊安全推動小組、資訊安全處理小組、資訊安全稽核小組,以協助集團各事業單位資訊安全相關工作的推展,資訊安全事件處理與資訊安全各項工作執行的稽核,以集團風險管控角度建構出全方位的資安防衛能力,並持續提昇同仁資訊安全意識。


2022年8月指派高啟清協理擔任資安長,負責推廣資安政策、管理與協調、督導資安事務運作與提報成果。
為確保資訊安全管理系統能有效運作,本公司成立資訊安全委員會,統籌資訊安全管理制度之規劃及推動事宜,執行內容如下:
  1. 建立政策與目標。
  2. 整合標準要求至本公司管理措施。
  3. 提供ISMS執行所需資源。
  4. 溝通有效的資訊安全管理與符合ISMS要求的重要性。
  5. 確保ISMS達到預期結果。
  6. 指導並支持人員達成ISMS有效性的量測指標。
  7. 促進持續改進。

2023年執行情形:2023年4月外聘第三方資安顧問協助ISO 27001:2013(ISMS)資訊安全管理制度續證,除原認證單位外(經管中心及設計中心),再增加製造中心及電子發票服務單位擴大認證範圍。
 
資訊安全管理委員會組織架構 

20230217


建置步驟
 

資訊安全-03

 

資安政策

本集團資安政策主軸聚焦資安治理、法令遵循及科技運用等三個面向進行評估與規劃。分述如下。
項目
要點
說明
 
2021永續報告書-H-02
資安治理  
  • 建立管理制度
  • 落實PDCA循環式品質管理建立
  • 資訊安全相關管理制度
  • 風險管理與持續改善
  • 掌握風險及強化規範
建立符合資訊安全管理制度,
包含資訊安全組織建立,強化教育訓練,
資訊安全系統盤點與調整,以建構及深化保護技術。
 
2021永續報告書-H-03
法令遵循  
  • 定期審查並適時修訂資安相關規範
  • 建立合規循環機制
建立合規循環機制、
定期檢視及修訂內部作業規範,
以符合國際法規及各海外地區法令。

2021永續報告書-H-04
科技運用  
  • 風險評鑑&資產保護
  • 資安邊界審查&應變對策
  • 自動化威脅&防護機制佈署
  • 資產盤點
  • 評估弱點並強化防護
  • 運用數據分析
盤點資訊安全系統弱點,
並調整與強化現有防護架構,
運用數據分析與鑑識技術,
及早發現風險作出安全策略。
 

資訊安全事件

盟立已建置資安事件處理與應變程序,明訂相關流程與措施,包含資安事件通報程序、評估遭受之損失及對策、評估資安風險可能對公司財務與營運的影響及其因應措施。公司透過定期執行營運持續運作演練,落實事前預警、事中防護、事後復原與調查之程序。
 

 

資訊安全執行

一、本集團除今年(2023)資訊機房及設計中心續證外,另增加製造中心及電子發票與服務認證。於2023年12月18日完成ISO 27001:2013(ISMS)資訊安全管理系統稽核有效性續評,將於2024年度取得國際認證ISO 27001:2013 (ISMS)資訊安全管理系統國際認證 (含TAF認證)。
二、資訊安全執行成果 :
  • 每年定期召開4次資安季會,檢視與確認導入與執行成果,遇重要議題變更時,不定期召開資安季會會議。
  • 2023年實施1次全體同仁資安意識提升教育訓練,並搭配1次訓練測驗,藉以加深同仁的資安意識。
課程名稱 對象 應訓人數 已訓人數 受訓比例 上課時數
資安意識教育訓練

全體員工


1204


1154


96%
2小時
勒索軟體危害與防護實務教育訓練 1.5小時
年度資安教育訓練 0.5小時
註1:2023年度受訓期間為2023/10/1起至2023/10/31止。

三、2023年依年度資安改善要項、外部企業資安評級及客戶資安訪查建議,完成改善項目:  
  • USB禁用與管制
  • 建立重要客戶資安聯防管道
  • 啟動VPN雙因子認證
  • 重要設備弱點掃描
強化顧客隱私
盟立集團為促進個人資料合法利用,避免侵害人格權,特別制定隱私保護與強化政策,並承諾恪遵相關法令規章,在不逾越特定目的的必要範圍,及與蒐集目的具有正當合法、合理之關聯下,依誠實、信用 及公平之方法、蒐集、處理或利用個人資料。

2021永續報告書-H-02
   依法蒐集
盟立僅於執行業務或職務所需,
依法令蒐集與處理個人 資料,並
在蒐集時,依法告知當事人其個
人資料利用之期間、地區、對象
及方式等事項。

2021永續報告書-H-07
 訂定辦法
為落實本政策,盟立訂定「個人
資料安全維護管 理辦法」,明訂
權責人員之作業職掌與責任擔當
,並設置管理人員組織,以保護
個人資料。

2021永續報告書-H-03
管理維護
對所蒐集、處理或利用之各類個
人資料,盟立將建立與維持完整
之紀錄或清單;對所保管與處理
之個人資料,將採取適當之安全
管理措施,防止個人資料被竊取
、竄改、毀損、滅失或遺漏,以
確保個人資料安全與正確。

2021永續報告書-H-06
第三方使用
委託第三方蒐集、處理與利用個
人資料時,盟立將適當監督受委
託者,並確認其採取之個人資料
管理規範及制度,符合法令與合
約之規定。

2021永續報告書-H-04
傳輸運送
盟立尊重當事人對其個人資料
之法定權利,如需執行國際傳
輸,將會在合法、適當、充分
保護之狀況下實施。

2021永續報告書-H-05
例外情況
以上各款若有例外處理,盟立
亦僅在「個人資料保護法」及
「個人資料保護法施行細則」
所允許之情形為之。
TOP goTop
WeChat QRcode

偵測到您已關閉Cookie,為提供最佳體驗,建議您使用Cookie瀏覽本網站以便使用本站各項功能

本公司遵循中華民國個人資料保護法相關規範,嚴格保護您的隱私並確保您的個人資料受到保護。本公司將定期更新隱私權政策,以遵循該個人資料保護法,請您參照我們最新版的隱私權聲明。本網站使用cookies以提供更好的瀏覽體驗,如需了解更多關於本網站如何使用cookies 請按 這裏