Quyền riêng tư của khách hàng và An ninh thông tin
I. Chính sách và Cam kết
Để bảo vệ quyền riêng tư của khách hàng và an ninh thông tin, BES đã thiết lập nhiều hệ thống quản lý nội bộ và quy trình vận hành nhằm bảo đảm tuân thủ và kiểm soát rủi ro trong suốt quá trình xử lý thông tin. Các quy định liên quan bao gồm:
·“Hướng dẫn về Hoạt động liên quan đến Máy tính và Quản lý An ninh Thông tin”, quy định các lĩnh vực như sử dụng thiết bị và kết nối mạng, phát triển và lập trình hệ thống, xử lý hồ sơ thông tin và quy trình vận hành, cũng như kiểm toán an ninh thông tin;
·“Hướng dẫn Vận hành về Quản lý Thông tin Tài chính và Phi tài chính” cùng các hệ thống kiểm soát nội bộ khác, quy định các tiêu chuẩn bảo vệ dữ liệu cá nhân nhằm tăng cường bảo mật quyền riêng tư trong quá trình xử lý dữ liệu;
Ngoài ra, công ty còn thành lập Ủy ban Kiểm toán theo Điều 14-1 của Luật Chứng khoán và Giao dịch, chịu trách nhiệm xem xét và sửa đổi các hệ thống kiểm soát nội bộ, đồng thời thường xuyên đánh giá hiệu quả của chúng để bảo đảm việc thực hiện đúng đắn các chính sách an ninh thông tin và bảo vệ dữ liệu cá nhân.
BES cam kết không ngừng nâng cao cơ chế quản lý an ninh thông tin và bảo vệ quyền riêng tư của khách hàng phù hợp với yêu cầu pháp luật và thông lệ ngành, qua đó giảm thiểu rủi ro tiềm ẩn và củng cố niềm tin của các bên liên quan.
II. Cơ chế Rà soát Quản lý
Chính sách quản lý an ninh thông tin của BES dựa trên khung chuẩn ISO 27001, tập trung vào kiểm soát rủi ro trên bốn khía cạnh chính: nhân sự, quy trình, hệ thống và kiểm soát nội bộ. Thông qua đào tạo, giám sát bất thường, kiểm soát truy cập và cơ chế kiểm toán, công ty tăng cường nhận thức về an ninh mạng và khả năng chống chịu vận hành, bảo đảm dữ liệu doanh nghiệp, quyền riêng tư khách hàng và bí mật thương mại được bảo vệ an toàn.
III. Cơ cấu Tổ chức và Đơn vị
BES đã thành lập Văn phòng An ninh Thông tin vào cuối năm 2022. Văn phòng này chịu trách nhiệm triển khai kế hoạch quản lý an ninh thông tin, xây dựng và duy trì hệ thống quản lý an ninh thông tin, cũng như giám sát việc xây dựng, thực thi, kiểm soát rủi ro và kiểm toán tuân thủ liên quan đến các chính sách bảo mật và an ninh thông tin.
Ngoài ra, công ty còn thành lập Nhóm Xúc tiến An ninh Thông tin, trong đó Tổng Giám đốc đồng thời đảm nhiệm vai trò Giám đốc An ninh Thông tin (CISO). Người đứng đầu Trung tâm Chỉ huy Hình ảnh/Âm thanh vừa là giám sát viên vừa là Sĩ quan An ninh Thông tin. Công ty cũng bổ nhiệm hai quản lý chuyên trách an ninh thông tin. Các trưởng bộ phận trong toàn công ty, bao gồm Pháp chế, Kiểm toán, CNTT và Kỹ thuật, đều là thành viên của nhóm, chịu trách nhiệm thúc đẩy công tác an ninh thông tin và thực hiện kiểm toán liên quan.
IV. Chỉ tiêu và mục tiêu
Ngắn hạn (2026 – 2027)
1. Trong năm 2026, ít nhất 01 nhân sự đạt được chứng chỉ chuyên môn về an toàn thông tin (ISO 27001 Lead Auditor).
2. Số sự cố an toàn thông tin phát sinh trong năm: 0 vụ.
3. Số buổi tuyên truyền/nâng cao nhận thức về an toàn thông tin hằng năm: tối thiểu 4 buổi.
4. Hoàn thành đánh giá và đạt chứng nhận ISO 27001.
5. Cải thiện điểm đánh giá an toàn thông tin của SecurityScorecard đạt mức A.
Trung hạn (đến năm 2030)
1. Duy trì việc toàn bộ nhân sự phụ trách an toàn thông tin nội bộ của Công ty đều sở hữu ít nhất một chứng chỉ chuyên môn được Bộ Phát triển Kỹ thuật số công nhận.
2. Số sự cố an toàn thông tin phát sinh trong năm: 0 vụ.
3. Tổ chức tối thiểu 4 buổi tuyên truyền/nâng cao nhận thức về an toàn thông tin mỗi năm.
4. Duy trì điểm đánh giá an toàn thông tin của SecurityScorecard ở mức A.
Dài hạn (từ năm 2030 trở đi)
Đảm bảo hệ thống an toàn thông tin và bảo vệ dữ liệu cá nhân tuân thủ đầy đủ các quy định pháp luật, tăng cường công tác quản lý an toàn thông tin và cơ chế bảo vệ quyền riêng tư của khách hàng, duy trì niềm tin của khách hàng.
V. Kết quả thực hiện an toàn thông tin và bảo vệ dữ liệu cá nhân năm 2025
· Ngày 23/12/2025, Công ty đã báo cáo tình hình vận hành an toàn thông tin năm 2025 lên Hội đồng Quản trị.
· Trong năm 2025, CTCI không ghi nhận bất kỳ khiếu nại nào đã được xác nhận liên quan đến xâm phạm quyền riêng tư của khách hàng hoặc thất thoát dữ liệu, đồng thời không có hồ sơ bị cơ quan quản lý xử phạt.
· Đã khởi động dự án triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001:2022 (với sự tư vấn và hỗ trợ của Deloitte & Touche).
· Đã tổ chức 01 khóa đào tạo phổ cập về an toàn thông tin cho toàn Công ty và 04 đợt tuyên truyền nội bộ về an toàn thông tin, với các nội dung bao gồm: bảo vệ dữ liệu cá nhân, an toàn thông tin tại công trường, tuyên truyền cấm sử dụng các sản phẩm ICT có nguồn gốc từ Trung Quốc, tôn trọng quyền sở hữu trí tuệ và nghiêm cấm sử dụng phần mềm trái phép, cảnh báo email lừa đảo và nâng cao nhận thức phòng chống tấn công kỹ nghệ xã hội.
· Công ty đã tham gia tổ chức vận động Taiwan Computer Emergency Response Team / Coordination Center (TWCERT/CC).
Quyền riêng tư của khách hàng và An ninh thông tin
I. Chính sách và Cam kết
Để bảo vệ quyền riêng tư của khách hàng và an ninh thông tin, BES đã thiết lập nhiều hệ thống quản lý nội bộ và quy trình vận hành nhằm bảo đảm tuân thủ và kiểm soát rủi ro trong suốt quá trình xử lý thông tin. Các quy định liên quan bao gồm:
·“Hướng dẫn về Hoạt động liên quan đến Máy tính và Quản lý An ninh Thông tin”, quy định các lĩnh vực như sử dụng thiết bị và kết nối mạng, phát triển và lập trình hệ thống, xử lý hồ sơ thông tin và quy trình vận hành, cũng như kiểm toán an ninh thông tin;
·“Hướng dẫn Vận hành về Quản lý Thông tin Tài chính và Phi tài chính” cùng các hệ thống kiểm soát nội bộ khác, quy định các tiêu chuẩn bảo vệ dữ liệu cá nhân nhằm tăng cường bảo mật quyền riêng tư trong quá trình xử lý dữ liệu;
Ngoài ra, công ty còn thành lập Ủy ban Kiểm toán theo Điều 14-1 của Luật Chứng khoán và Giao dịch, chịu trách nhiệm xem xét và sửa đổi các hệ thống kiểm soát nội bộ, đồng thời thường xuyên đánh giá hiệu quả của chúng để bảo đảm việc thực hiện đúng đắn các chính sách an ninh thông tin và bảo vệ dữ liệu cá nhân.
BES cam kết không ngừng nâng cao cơ chế quản lý an ninh thông tin và bảo vệ quyền riêng tư của khách hàng phù hợp với yêu cầu pháp luật và thông lệ ngành, qua đó giảm thiểu rủi ro tiềm ẩn và củng cố niềm tin của các bên liên quan.
II. Cơ chế Rà soát Quản lý
Chính sách quản lý an ninh thông tin của BES dựa trên khung chuẩn ISO 27001, tập trung vào kiểm soát rủi ro trên bốn khía cạnh chính: nhân sự, quy trình, hệ thống và kiểm soát nội bộ. Thông qua đào tạo, giám sát bất thường, kiểm soát truy cập và cơ chế kiểm toán, công ty tăng cường nhận thức về an ninh mạng và khả năng chống chịu vận hành, bảo đảm dữ liệu doanh nghiệp, quyền riêng tư khách hàng và bí mật thương mại được bảo vệ an toàn.
III. Cơ cấu Tổ chức và Đơn vị
BES đã thành lập Văn phòng An ninh Thông tin vào cuối năm 2022. Văn phòng này chịu trách nhiệm triển khai kế hoạch quản lý an ninh thông tin, xây dựng và duy trì hệ thống quản lý an ninh thông tin, cũng như giám sát việc xây dựng, thực thi, kiểm soát rủi ro và kiểm toán tuân thủ liên quan đến các chính sách bảo mật và an ninh thông tin.
Ngoài ra, công ty còn thành lập Nhóm Xúc tiến An ninh Thông tin, trong đó Tổng Giám đốc đồng thời đảm nhiệm vai trò Giám đốc An ninh Thông tin (CISO). Người đứng đầu Trung tâm Chỉ huy Hình ảnh/Âm thanh vừa là giám sát viên vừa là Sĩ quan An ninh Thông tin. Công ty cũng bổ nhiệm hai quản lý chuyên trách an ninh thông tin. Các trưởng bộ phận trong toàn công ty, bao gồm Pháp chế, Kiểm toán, CNTT và Kỹ thuật, đều là thành viên của nhóm, chịu trách nhiệm thúc đẩy công tác an ninh thông tin và thực hiện kiểm toán liên quan.
IV. Chỉ tiêu và mục tiêu
Ngắn hạn (2026 – 2027)
1. Trong năm 2026, ít nhất 01 nhân sự đạt được chứng chỉ chuyên môn về an toàn thông tin (ISO 27001 Lead Auditor).
2. Số sự cố an toàn thông tin phát sinh trong năm: 0 vụ.
3. Số buổi tuyên truyền/nâng cao nhận thức về an toàn thông tin hằng năm: tối thiểu 4 buổi.
4. Hoàn thành đánh giá và đạt chứng nhận ISO 27001.
5. Cải thiện điểm đánh giá an toàn thông tin của SecurityScorecard đạt mức A.
Trung hạn (đến năm 2030)
1. Duy trì việc toàn bộ nhân sự phụ trách an toàn thông tin nội bộ của Công ty đều sở hữu ít nhất một chứng chỉ chuyên môn được Bộ Phát triển Kỹ thuật số công nhận.
2. Số sự cố an toàn thông tin phát sinh trong năm: 0 vụ.
3. Tổ chức tối thiểu 4 buổi tuyên truyền/nâng cao nhận thức về an toàn thông tin mỗi năm.
4. Duy trì điểm đánh giá an toàn thông tin của SecurityScorecard ở mức A.
Dài hạn (từ năm 2030 trở đi)
Đảm bảo hệ thống an toàn thông tin và bảo vệ dữ liệu cá nhân tuân thủ đầy đủ các quy định pháp luật, tăng cường công tác quản lý an toàn thông tin và cơ chế bảo vệ quyền riêng tư của khách hàng, duy trì niềm tin của khách hàng.
V. Kết quả thực hiện an toàn thông tin và bảo vệ dữ liệu cá nhân năm 2025
· Ngày 23/12/2025, Công ty đã báo cáo tình hình vận hành an toàn thông tin năm 2025 lên Hội đồng Quản trị.
· Trong năm 2025, CTCI không ghi nhận bất kỳ khiếu nại nào đã được xác nhận liên quan đến xâm phạm quyền riêng tư của khách hàng hoặc thất thoát dữ liệu, đồng thời không có hồ sơ bị cơ quan quản lý xử phạt.
· Đã khởi động dự án triển khai Hệ thống Quản lý An toàn Thông tin ISO 27001:2022 (với sự tư vấn và hỗ trợ của Deloitte & Touche).
· Đã tổ chức 01 khóa đào tạo phổ cập về an toàn thông tin cho toàn Công ty và 04 đợt tuyên truyền nội bộ về an toàn thông tin, với các nội dung bao gồm: bảo vệ dữ liệu cá nhân, an toàn thông tin tại công trường, tuyên truyền cấm sử dụng các sản phẩm ICT có nguồn gốc từ Trung Quốc, tôn trọng quyền sở hữu trí tuệ và nghiêm cấm sử dụng phần mềm trái phép, cảnh báo email lừa đảo và nâng cao nhận thức phòng chống tấn công kỹ nghệ xã hội.
· Công ty đã tham gia tổ chức vận động Taiwan Computer Emergency Response Team / Coordination Center (TWCERT/CC).