客戶隱私保護與資訊安全

SDGs:

  • 健康與福祉

    3

  • 就業與經濟成長

    8

  • 同心協力的夥伴關係

    17

客戶來源多元且數量龐大,是百貨服務業一大特性,新光三越累積巨量的顧客消費與廠商交易資料,都需要被嚴密保護;隨著分店拓展與經營規模擴大,新光三越2023年成立專責資訊安全單位,不論在資料的蒐集、存取和使用上,皆嚴謹恪守國內相關法規與政策,並依據主管機關所發布的個人資料檔案安全維護管理辦法制定「新光三越個人資料保護管理辦法」,經董事會通過後公布實施。

 

資安專案組織

 

新光三越會員人數355萬,大量的消費資料與廠商交易資料都需要嚴密保護。對於資安的重視,新光三越早於2018年設立「安控長」一職及相關專責單位,開創百貨業者先例。預先符合金管會在2021年底發布新版「公開發行公司建立內部控制制度處理準則」,為有效掌握新光三越全方位的安全狀況,我們每年至少召開1次資訊安全審查會議,並每月召開安控會議聽取資訊安全報告,審議資訊安全管理策略與執行績效。安控會議召集人由安控長擔任,委員則由各單位權責主管兼任。除此之外,更設有不同執掌內容之小組,以完善推行資訊安全制度。

 

資安專案組織圖

 

 
 

安控室於2019年8月5日完成制定新光三越《資安再進步綱要》,每年進行綱要檢視與修訂,並據此落實新光三越資訊安全保護機制。另外,新光三越在2021年修訂委外安全管理程序書,要求與資訊相關廠商合約都需新增修訂後的《保密同意書》及《資訊安全合約條文》,規範新光三越與供應商雙方針對資訊安全應盡的義務責任。為了強化系統韌性與組織資訊安全防護網,2023年新光三越持續透過更新ISO 27001資訊安全管理系統認證、完成資安相關教育訓練2,035小時、辦理電子郵件社交工程演練4次、進行內部與外部稽核等管理措施,降低資訊安全外洩風險。

 

新光三越十分重視客戶的權益,全力打造顧客可以信賴的安心購物環境,繼導入ISO 27001資訊安全管理系統驗證後,2022年則進一步為導入ISO 27701個人資料隱私資訊管理系統進行準備作業,包含執行個人資料盤點、風險評鑑教育訓練等,已於2023年取得ISO 27701之認證,藉以更加精進並徹底實踐客戶隱私、個人資訊安全之維護。

資安再進步-八大指引

 
01
導入資訊安全國際認證
02
繼續外部顧問
03
策進公司資安政策
04
確立資安風險管理的內部組織
05
研訂資安事件應變處理要則
06
改進資安外部檢測及攻防演練
07
長期維護員工資安防衛能力
08
評估資安保險

年度稽核與防護成果

為實現永續經營,新光三越成立資訊安全組織、統籌資訊安全政策、建置資訊安全系統,每年新光三越規劃年度稽核制度計畫,制定「資訊安全稽核檢查表」,與外部第三方機構合作,進行全方位檢測。以確保新光三越之資訊安全與客戶隱私管理制度能有效執行,或針對可能造成危害之疏漏及時採取矯正措施,並符合內部資安管理標準、以及政府相關法令之要求,保障資料、資訊系統、設備及網路正常營運,避免內、外部之意外或威脅,並提供可靠的資通訊服務,令消費者、員工和合作廠商都安心。

2023 執行年度稽核

內部稽核
  • 2023年6月 委託安侯企業管理公司執行ISO 27001及ISO 27701年度內部稽核
外部稽核
  • 2023年7月 台灣檢驗科技SGS公司執行ISO 27001及ISO 27701年度定期查核

近三年稽核結果揭露

年份 內部稽核 外部稽核
2021 共發現 0 項次要缺失、23 項觀察事項、8 項建議事項 共發現 1 項次要缺失、8 項觀察事項、0 項建議事項
2022 共發現 0 項次要缺失、14 項觀察事項、7 項建議事項 共發現 1 項次要缺少、11 項觀察事項、0 項建議事項
2023 共發現 0 項次要缺失、24 項觀察事項、19 項建議事項 共發現 1 項次要缺少、18 項觀察事項、5 項建議事項
  • 註: 上述稽核項目均已改善完成,納入內部議題共1項,預計 2024 年 9 月改善完成。