因應個資與資訊安全需求,本公司早於2014年成立資安暨個資委員會,導入ISO27001資訊安全管理系統驗證,持續取得BSI第三方認證,並依據BS10012 個人資料保護標準的要求,就確保本公司人員、資料、資訊系統、設備及網路之安全,特訂定資訊安全政策,作為本公司資訊安全管理系統的最高指導原則,以達到「服務不間斷,資料不流失,個資不外洩,企業永續經營」的目的。透過資訊安全管理系統之實施應依據規劃(Plan)、執行(Do)、查核(Check)及持續改善(Action)流程模式,以週而復始、循序漸進的,確保資訊業務運作之有效性及持續性
實際執行方式是以事先預防,降低風險為前題,透過每個月的資安月會和緊急應變的臨時會議討論,針對新發生的內外部資安議題檢討對策,再落實到年度計畫的活動之中,並於每年的資安暨個資管理審查報告說明今年度執行成果及明年度的資安預算規畫。年度活動包含上下半年各一次的外稽顧問稽查,兩次委外顧問外稽前輔導,每年一次稽核委員會的內稽審查,以確定資訊安全管理系統實施狀況及是否達成各項服務之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與適法性(Compliance)設定之資訊安全目標。
此外,為因應社會環境及法令規定的變遷與科技進步,大同訂定隱私權保護聲明,對於客戶資料的蒐集、處理及利用均遵守「個人資料保護法」及相關法令規範,且妥善保護客戶之個人資料,重點管控措施摘要如表4.3-1,2021年並無發生與侵犯顧客隱私或遺失顧客資料有關的投訴,另外近年來常有假冒官方社群帳號進行個資詐騙的情事,大同於獲知此類消息時,皆立即於公司官網及大同社群網站公告警示消息,以免消費者受害上當。

 圖4.3-5 大同資安暨個資委員會組織圖




定期取得ISO27001認證,目前證書之有效期為109年12月31日至112年12月30日。
管理系統驗證 通過ISO 27001 驗證及遵循BS 10012 個人資料保護標準。
管理措施
  1. 接觸客戶或消費者個資的相關客服人員,在嚴格的安勤門禁管控之下,避免流失重要的個資資料。而且非經主管授權,個人無權私下與客戶或消費者連絡以免侵犯隱私。
  2. 加強人員安全認知,定期舉辦個資暨資訊安全宣導教育訓練課程並於課後實施測驗檢驗學習效果,確保員工均充分了解個人資料的重要性及作業規範。
  3. 強化網站資訊之安控管理,導入適當防護機制與監控軟體,定期滲透測試與源碼檢測,防止資訊遭不當存取,保障客戶或消費者個人資料安全。

 表4.3-1 個資管控重點措施