資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.本公司於民國111年設立資安長並擔任「資訊安全管理委員會」主任委員,督導資訊部、資安專責單位及全公司遵循「規劃(Plan)、執行(Do)、檢查(Check)、行動(Act)」之運作與改善模式,每年持續維持ISO27001:2013資訊安全管理系統國際標準認證證書之有效性,並提報年度資安整體執行情形向董事會報告。
2.本公司以兆豐金融控股股份有限公司資訊安全政策及ISO27001所列之資訊安全管理原則為遵循準則,以建立符合國際標準之資訊安全管理系統。並依主管機關要求、保險業資安防護自律規範及ISO27001:2013條款要求, 訂定相關程序書規範。
3.資訊安全管理作業說明如下:
(1)資訊維運服務組每季召開資訊與資安維運會議。
(2)資訊維運服務組每半年辦理資訊資產盤點,並每年辦理資訊資產風險評鑑。
(3)資訊稽核組每半年辦理ISMS內部稽核。
(4)資訊安全管理委員會每半年召開資安管理審查會議,審查資訊資安及各項ISMS 管理作業事宜。
(5)定期進行資安檢測與修補作業,及持續進行營運持續應變演練。
(6)定期進行全員社交工程演練,及持續辦理資安教育訓練。
4.本公司依「保險業內部控制及稽核制度實施辦法」第六條之一規定設置資安專責單位, 並配置資安專責主管1人與資安專責人員2人,負責規劃、監控及執行資訊安全管理作業。民國112年資訊安全預算於資訊預算占比約20.2%。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
近年度未發生重大資通安全事件及遭受損失。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
1.資訊部每年定期對內外部資訊應用系統辦理弱點掃描與滲透測試作業及要求配合廠商辦理修補,以減低應用系統或相關資訊設施遭受攻擊之風險。
2.資訊部每天進行系統備份及資料異地傳輸,並每年辦理資訊應用系統異地備援演練及資安暨個資事件演練。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。