資訊安全
為建立符合機密性、完整性與可用性之資訊安全作業環境,提升本公司營運作業之安全性與降低其風險性,本公司特於2018年導入資訊安全管理制度(Information Security Management System簡稱ISMS),下轄於本公司個人資料保護推動小組 資訊安全管理維運分組,至少每年召開會議一次並通過資訊安全監測項目計畫及審議相關監控機制。
資訊安全管理政策
本公司資訊安全管理政策如下:
- 確保本公司相關業務資訊之機密性與個人資料之安全,防止本公司機敏性資訊及個人資料免於因內部或外部、蓄意或意外之各種威脅與破壞,致業務資訊遭受竄改、揭露、破壞、遺失或終止服務等風險。
- 確保本公司相關業務資訊之完整性與可用性,並正確執行本公司作業與各項業務,以保護本公司之資訊資產安全,確保本公司之設備及網路,不因各種威脅與破壞,而造成服務錯誤或中斷無法使用。
資訊安全管理制度之導入及預評
金管會保險局為強化資訊安全,函示應依該局「資安自律規範檢視」會議決議,於2018年底前完成資訊安全管理制度(ISMS)之導入及預評,本公司已於2018年9月接受外部第三方機構台灣檢驗科技股份有限公司(SGS)之ISMS預評完成並出具預評證明。
資訊安全管理方案
本公司依據ISO27001/CNS27001及相關法令法規之規範訂定各項資訊安全管理制度作業手冊,以做為各項資訊安全管理方案之具體遵循目標。
| |
| 資訊安全管理 |
本公司實施資訊安全管理制度的相關管理措施,以防禦來自內部或外部的有意或意外威脅,並提供本公司之硬體、軟體、週邊設備與網路系統等資產之安全性及操作便利性。 |
|
|
| |
| 資訊資產與風險管理 |
資訊資產盤點與風險管理範圍、權責及作業要求,提供資訊資產分級定義與各項資訊機密等級之標準,並規範各類資訊資產管理之方式,以作為執行資訊資產管理工作之依據。 |
|
|
| |
| 人員與教育訓練管理 |
建立適當的控制以減少因人為過失、偷竊、詐欺、濫用或誤用資訊處理設備所造成的資訊安全風險,確保所有資訊使用者,了解其資訊安全管理相關責任,正確的執行其職務,並進行相關教育訓練以降低人為錯誤的風險。 |
|
|
| |
| 實體與環境安全管理 |
維護資訊資產及員工之作業場所遭受未經授權的存取、損害及干擾,以提昇實體與環境之管理、安全、品質,確保資訊資產的安全。 |
|
|
| |
| 通訊與作業管理 |
確保遵循通訊與操作作業之相關安全管理規定,以及確保正確與安全的操作資訊處理設施以降低人為錯誤的風險。 |
|
|
| |
| 存取控制管理 |
確保資訊資產存取權限經適當的授權、分配及維護,以防止不當存取。 |
|
|
| |
| 資訊系統獲取、開發及維護管理 |
建立資訊應用系統之獲取、開發及維護管理,依循相關資訊安全管理規定,以確保資訊系統開發與敏感資訊處理之安全性,保障開發流程之品質,並維持系統的安全與正常運作。 |
|
|
| |
| 業務委外管理 |
辦理本公司相關資訊作業委外服務有所參照或依循。 |
|
|
| |
| 遵循性管理 |
使資訊安全管理制度,符合相關法令、法規、契約義務、資訊安全政策目標及ISO27001資訊安全之要求,爰訂定遵循性控制之管理程序。 |
|
|
| |
| 營運持續管理 |
資訊系統服務之關鍵業務無法持續運作時,執行必要之替代方案,並安全的回復,確保員工安全與關鍵性業務的持續運作,降低事故所造成的損失。 |
|
|
|
|
|
本公司依規定設有資訊安全專責主管,亦成立「資訊安全課(Information Security Section)」,考量資安險仍是新興險種,
涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套尚未成熟,經評估目前未有購買資安險之需求。後續目標以完備資安相關規範、定期進行資安評估、持續強化資安防護與建立聯防機制為先。另在培訓資安人才、提升專業職能,擬訂培訓計畫,持續進行人力質的精進以期對資安防護有所助益。 |
