客戶隱私保護與資訊安全

SDGs:

  • 健康與福祉

    3

  • 就業與經濟成長

    8

  • 責任消費與生產

    12

  • 同心協力的夥伴關係

    17

客戶來源多元且數量龐大,是百貨服務業一大特性,新光三越累積巨量的顧客消費與廠商交易資料,都需要被嚴密保護;隨著分店拓展與經營規模擴大,新光三越2023年成立專責資訊安全單位,不論在資料的蒐集、存取和使用上,皆嚴謹恪守國內相關法規與政策,並依據主管機關所發布的個人資料檔案安全維護管理辦法制定「新光三越個人資料保護管理辦法」,經董事會通過後公布實施。

 

資安專案組織

 

新光三越會員人數406萬,大量的消費資料與廠商交易資料都需要嚴密保護。因此新光三越對於資安相當重視,於2018年設立「安控長」一職及相關專責單位,開創百貨業者先例。預先符合金管會在2021年底發布新版「公開發行公司建立內部控制制度處理準則」,為有效掌握新光三越全方位的安全狀況,我們每年至少召開1次資訊安全審查會議,並每月召開安控會議聽取資訊安全報告,審議資訊安全管理策略與執行績效。安控會議召集人由安控長擔任,委員則由各單位權責主管兼任。除此之外,更設有不同執掌內容之小組,以完善推行資訊安全制度。

 

資安專案組織圖

 

 
 

安控室於2019年8月5日完成制定新光三越《資訊安全安防護再進步綱領》,每年進行綱要檢視與修訂,並據此落實新光三越資訊安全保護機制。另外,新光三越在2021年修訂委外安全管理程序書,要求與資訊相關廠商合約都需新增修訂後的《保密同意書》及《資訊安全合約條文》,規範新光三越與供應商雙方針對資訊安全應盡的義務責任。

 

為了強化系統韌性與組織資訊安全防護網,新光三越持續更新ISO 27001資訊安全管理系統、ISO 27701個人資料隱私資訊管理系統認證,進行資安相關教育訓練、辦理電子郵件社交工程演練、內部與外部稽核、個人資料盤點、風險評鑑教育訓練等管理措施,降低資訊安全外洩風險。

 

截至2024年,ISO 27001、ISO 27701驗證涵蓋範圍已包含總公司及15家分店,藉以更加精進並徹底實踐資訊安全管理、客戶隱私、個人資訊安全之維護,打造顧客信賴的安心購物環境。

資安再進步-八大指引

 
01
導入資訊安全國際認證
02
引入外部顧問資源
03
策進公司資安政策
04
確立資安風險管理的內部組織
05
研訂資安事件應變處理要則
06
改進資安外部檢測及攻防演練
07
長期維護員工資安防衛能力
08
評估資安保險

年度稽核與防護成果

為實現永續經營,新光三越成立資訊安全組織、統籌資訊安全政策、建置資訊安全系統,每年新光三越規劃年度稽核制度計畫,制定「資訊安全稽核檢查表」,與外部第三方機構合作,進行全方位檢測。以確保新光三越之資訊安全與客戶隱私管理制度能有效執行,或針對可能造成危害之疏漏及時採取矯正措施,並符合內部資安管理標準、以及政府相關法令之要求,保障資料、資訊系統、設備及網路正常營運,避免內、外部之意外或威脅,並提供可靠的資通訊服務,令消費者、員工和合作廠商都安心。

2024 年度稽核執行

內部稽核
  • 2024年6月 委託安侯企業管理公司執行ISO 27001及ISO 27701年度內部稽核
外部稽核
  • 2024年7月 台灣檢驗科技SGS公司執行ISO 27001及ISO 27701年度定期查核
  • 註: 稽核範圍與本報告書邊界一致,惟不包含法雅客及SKM Park。

近三年稽核結果揭露

年份 內部稽核 外部稽核
2022 共發現 0 項次要缺失、14 項觀察事項、7 項建議事項 共發現 1 項次要缺失、11 項觀察事項、0 項建議事項
2023 共發現 0 項次要缺失、24 項觀察事項、19 項建議事項 共發現 1 項次要缺少、18 項觀察事項、5 項建議事項
2024 共發現 0 項次要缺失、92 項觀察事項、12 項建議事項 共發現 5 項次要缺少、55 項觀察事項、0 項建議事項
  • 註: 上述稽核項目均已改善完成。