資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
資訊安全架構:
本資訊安全管理委員會由資源群最高主管擔任召集人,資訊長擔任副召集人,並指派一名執行祕書,負責資訊安全管理委員會各項協調工作。各險部與資訊安全相關部門均應指派代表加入資訊安全管理委員會,並將人員名冊列在資訊安全組織名冊。
資訊安全政策:
基於第一產物保險股份有限公司(以下簡稱本公司)的業務特性,為維護客戶、股東及公司之權益,本公司及全體同仁有責任和義務,共同建立及維護一個安全的資訊與通訊作業環境,讓資訊安全成為企業文化的一環,本公司已成立資訊安全委員會並訂定資訊安全政策以明確定義安全目標與安全要求,以資遵循。
為落實資安防護作業,提升人員資安防護意識及資安專業技能,本公司並於每年定期舉辦資訊安全教育訓練。
資訊安全具體管理方案:
一、 本公司各事業部執行業務時必須遵守政府相關法規(如:專利法、著作權法、個人資料保護法、個人資料保護法施行細則等)之規定。
二、 設置資訊安全管理委員會,負責本公司資訊安全管理系統之建立及推動事宜。
三、 建立組織全景評鑑機制,以界定資訊安全的方針與資訊安全管理系統的實施範圍,並了解組織全景及關注方的需要與期望。
四、 訂定文件控管作業規定,以律定資訊安全制度相關文件之制定、修改、編碼、發行等管理原則。
五、 建立資訊資產之管理機制,以統籌分配、有效運用有限資源,解決關鍵安全問題。
六、 建立風險評鑑管理辦法並識別出各類資產的風險,以採取適當之風險處理措施,加以管控、降低風險至可接受之程度。
七、 定期實施業務相關之資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
八、 建立機房實體及環境安全防護措施,並定期施以相關保養維護。
九、 明確規範資訊系統、網路服務、敏感資訊之使用權限,防止未經授權之存取行為。
十、 建立資訊系統獲取、開發及維護作業流程,明確規範系統於開發及委外相關遵循之依據,且資訊系統或服務應於建置或推出前,應將資訊安全相關議題納入,以防範危害系統安全之情況發生。
十一、 訂定及執行資訊安全內部稽核活動,以落實資訊安全管理制度,針對未盡事項執行矯正措施。
十二、 訂定資訊安全之營運持續計畫並實際演練,確保本公司遭受突發事故時業務得以持續運作。
十三、 本公司所有人員皆負有維持資訊安全之責任,且應瞭解及遵守相關之資訊安全管理規定,並於工作職責中落實。
投入資通安全管理之資源:
本公司已成立資安專責單位負責推動資訊安全相關業務,並取得ISO27001資訊安全系統管理證照,為了維持證照之有效性,除與中華電信簽訂ISMS顧問合約,並設置資訊安全管理委員會,召集人為副總層級,表示本公司高層對資訊安全之支持。每年除定期召開管理審查會議監督各資訊安全程序是否依規定進行之外,每月也會不定期安排ISMS管理會議,相關會議次數達15次以上,投入人員總數達100人次以上,以檢視資安防護措施的有效性及預期目標是否達成。同時本公司已向南山產物保險公司投保資料保護保險,保險金額總額為100萬美金,以減少資通安全風險帶來的損失。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
最近年度無重大資通安全事件
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
資通安全風險對公司財務業務之影響:
如本公司遭遇駭客攻擊發生重要資料或是客戶個資外洩事件,可能遭受客戶的求償,或是駭客要求支付勒索贖金,造成公司名譽及金錢上的損失。
因應措施:
1.向主管機關進行通報。2.公司進行緊急處置與調查。3.尋求外部資安專業單位或是調查局、刑事局報案來尋求協助。4.透過惡意樣本分析與相關資訊,進行資安強化,減少攻擊發生的機率。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。