為建立符合機密性、完整性與可用性之資訊安全作業環境,提升本公司營運作業之安全性與降低其風險性,本公司特於2018年導入資訊安全管理制度(Information
Security Management System簡稱ISMS),下轄於本公司個人資料保護推動小組
資訊安全管理維運分組,至少每年召開會議一次並通過資訊安全監測項目計畫及審議相關監控機制。
金管會保險局為強化資訊安全,函示應依該局「資安自律規範檢視」會議決議,於2018年底前完成資訊安全管理制度(ISMS)之導入及預評,本公司已於2018年9月接受外部第三方機構台灣檢驗科技股份有限公司(SGS)之ISMS預評完成並出具預評證明。
本公司依據ISO27001/CNS27001及相關法令法規之規範訂定各項資訊安全管理制度作業手冊,以做為各項資訊安全管理方案之具體遵循目標。
|
資訊安全管理
|
本公司實施資訊安全管理制度的相關管理措施,以防禦來自內部或外部的有意或意外威脅,並提供本公司之硬體、軟體、週邊設備與網路系統等資產之安全性及操作便利性。
|
|
|
|
資訊資產與風險管理
|
資訊資產盤點與風險管理範圍、權責及作業要求,提供資訊資產分級定義與各項資訊機密等級之標準,並規範各類資訊資產管理之方式,以作為執行資訊資產管理工作之依據。
|
|
|
|
人員與教育訓練管理
|
建立適當的控制以減少因人為過失、偷竊、詐欺、濫用或誤用資訊處理設備所造成的資訊安全風險,確保所有資訊使用者,了解其資訊安全管理相關責任,正確的執行其職務,並進行相關教育訓練以降低人為錯誤的風險。
|
|
|
|
實體與環境安全管理
|
維護資訊資產及員工之作業場所遭受未經授權的存取、損害及干擾,以提昇實體與環境之管理、安全、品質,確保資訊資產的安全。
|
|
|
|
通訊與作業管理
|
確保遵循通訊與操作作業之相關安全管理規定,以及確保正確與安全的操作資訊處理設施以降低人為錯誤的風險。
|
|
|
|
存取控制管理
|
確保資訊資產存取權限經適當的授權、分配及維護,以防止不當存取。
|
|
|
|
資訊系統獲取、開發及維護管理
|
建立資訊應用系統之獲取、開發及維護管理,依循相關資訊安全管理規定,以確保資訊系統開發與敏感資訊處理之安全性,保障開發流程之品質,並維持系統的安全與正常運作。
|
|
|
|
業務委外管理
|
辦理本公司相關資訊作業委外服務有所參照或依循。
|
|
|
|
遵循性管理
|
使資訊安全管理制度,符合相關法令、法規、契約義務、資訊安全政策目標及ISO27001資訊安全之要求,爰訂定遵循性控制之管理程序。
|
|
|
|
營運持續管理
|
資訊系統服務之關鍵業務無法持續運作時,執行必要之替代方案,並安全的回復,確保員工安全與關鍵性業務的持續運作,降低事故所造成的損失。
|
|
|
|
|
|
-
資訊安全專責單位:
本公司依規定設有「資訊安全課(Information Security Section)」,配置資訊安全專責主管一名及資訊安全專責人員一名。資訊安全專責主管每年向董事會報告「資訊安全整體執行情形」,近三次報告日期如下:
-
年度 |
報告日期 |
董事會屆數 |
2021 |
2021/12/22 |
第18屆第14次董事會 |
2022 |
2022/12/21 |
第18屆第22次董事會 |
2023 |
2023/12/5 |
第19屆第5次董事會 |
-
召開定期會議:
本公司個人資料保護推動小組資訊安全管理維運分組,近三次召開會議日期如下:
年度 |
召開會議日期 |
會議名稱 |
2022 |
2022/11/23 |
個人資料保護推動小組第16次會議會議 |
2023 |
2023/11/29 |
個人資料保護推動小組第17次會議會議 |
2024 |
2024/10/28 |
個人資料保護推動小組第18次會議會議 |
其中管理審查作業討論項目包含:
定期檢討資訊安全政策、資訊安全管理制度之有效性改進措施、風險評鑑與風險處理計畫之更新、因應可能影響資訊安全管理制度之法令或法規要求、建置或修訂管理制度或流程、資源需求、資訊安全保護措施的有效性如何量測之改進等。
-
參與聯防組織:
本公司已加入下列資安聯防組織
(1) 金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center,F-ISAC),交換金融資安情資及參與聯防預警機制。
(2) 台灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team / Coordination Center,TWCERT/CC),定期交換資安情資,針對營運面資安問題進行探討分享,並增進整體資安防護能力。
資安監控:
本公司每季將資安監控情形彙整陳報董事會風險管理委員會。其中監控內容包含:資訊系統及基礎設施監控、分散式阻斷服務攻擊(DDoS)監控、進階持續性威脅攻擊(APT)監控、病毒及勒索軟體監控等項目。
資安諮詢小組:
本公司每年依「保險業電腦系統資訊安全評估作業原則」遴選第三方合格廠商進行電腦系統資訊安全評估作業,並由其提供資訊安全諮詢顧問相關服務。近三年顧問廠商名單如下:
年度 |
廠商名稱 |
2022 |
財團法人資訊工業策進會 |
2023 |
訊揚科技有限公司 |
2024 |
訊揚科技有限公司 |
-
認知宣導:
本公司每年針對資訊安全、社交工程、防制詐騙等項目,對全體員工辦理三小時認知宣導課程。近三次參與訓練人數及辦理情形如下:
年度 |
參訓人數 |
辦理情形(課後測驗平均分數) |
2022 |
159人 |
96.65 |
2023 |
174人 |
97.53 |
2024 |
170人 |
99.47 |
-
異地備援:
本公司設立有異地備援機房,每年實施異地備援演練,並於演練時納入關鍵業務實際運作。近三次辦理異地備援日期如下:
年度 |
辦理日期 |
2021 |
2021/11/14~2021/11/21 |
2022 |
2022/9/17~2022/9/24 |
2023 |
2023/8/19~2023/8/26 |
資安保險:
考量資安險涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關條件,經評估目前本公司未有購買資安險之需求。後續目標以完備資安相關規範、定期進行資安評估、持續強化資安防護與建立聯防機制為先。另在培訓資安人才、提升專業職能,擬訂培訓計畫,持續進行人力質的精進以期對資安防護有所助益。