資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.本公司已制定資訊安全政策作為實施資訊安全措施之最高指導原則,經董事會決議通過後向全體員工公告施行,並遵循政策精神另訂定管理規範及作業程序以供遵循。
2.本公司設有「資訊安全委員會」,由總經理擔任召集人、資訊安全長擔任副召集人,並由各轄區一級主管擔任委員,資訊安全委員會下設「資安暨個保推行組」,由資訊安全長擔任組長,主導規劃、協調並推行資訊安全及個人資料保護議題;前述組織均以每季召開一次會議為原則,得視需要另行召開臨時會議,確保資訊安全與個人資料保護議題妥善溝通協調,得以落實推行。
3.資訊安全管理以風險為導向,針對資訊安全風險制訂關鍵風險指標(Key Risk Indicator, KRI),並定期執行資訊資產風險評鑑作業,對於超過可接受風險水準項目擬訂風險處理計畫,運用適當控制措施達成資訊安全目標,確保資訊資產之機密性、完整性及可用性。
4.持續維持資訊安全管理制度(ISMS)與個人資料管理制度(PIMS)國際標準驗證之有效性。定期委由外部專業機構進行資安檢測,依保險業辦理資訊安全防護自律規範落實資訊安全評估作業、遵循SWIFT客戶安全計劃CSP(Customer Security Programme)及PCI DSS支付卡產業資料安全標準(Payment Card Industry Data Security Standard)。
5.透過資安事件管理系統即時管控事件,並委託專業資安服務商協同監控,提供7x24小時事件分析與監控。運用國內外資安情資,達成資安聯防,並運用RSA AFCC反詐欺行動服務,保護網路客戶交易安全及品牌資產。
6.本公司投入資訊安全管理資源112年度資訊預算96,882萬元,資安預算9,923萬元,資安預算占比10.24%;113年度資訊預算98,136萬元,資安預算9,270萬元,資安預算占比9.45%。資訊轄區編制312名人力,資安轄區編制13名人力。資訊安全教育訓練完訓率達100%。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
最近年度無因重大資通安全事件遭受損失
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
1.本公司持續通過ISMS與PIMS驗證,依據國際標準作業程序,落實個人資料流向管理、網路與機房管理及保險應用系統開發與維護等各項管理作業,打造安全作業環境降低可能的資訊安全事件衝擊,且為避免惡意網路攻擊導致癱瘓服務,嚴謹要求落實各項作業程序,定期備份重要資料並建置災害備援機制,維持營運不中斷及資料不外洩。
2.從國內外資安攻擊趨勢檢視各項資安風險對應之控制措施,本公司已建置DDoS防護設備以偵測與防護日益猖獗之自動化攻擊行為及訂購DDoS攻擊流量清洗服務以緩解攻擊事件對於客戶服務之影響,每年透過DDoS攻擊演練,確保整體偵測及應變能力;面對持續高漲的供應鏈安全問題,本公司持續加強委外廠商或跨機構合作夥伴之評估及辦理定期查核以落實委外作業管理,並於合約或簽訂之合作備忘錄中明訂資訊安全及個人資料事故時應擔負賠償本公司損失之責任與義務。
3.本公司以縱深防禦概念建置多重資安防護措施,如:電子郵件防止社交工程威脅,建置垃圾郵件攔截設備(SPAM),阻擋日益氾濫之外部垃圾電子郵件,電子郵件APT防護設備(DDEI),偵測並攔截電子郵件惡意附件檔或URL網址的釣魚信件;對外服務之防護,建置有次世代防火牆(NGFW)、網頁應用程式防火牆(WAF),針對對外服務之網路封包進行監控及惡意行為阻擋;內部APT之防護,於內部使用之個人電腦設備,建置端點防護工具(MDR)以偵測內部設備之異常活動;除了加強資安防護之外,也嚴格落實弱點管理,以降低弱點遭利用之可能性,另透過社交工程演練加強人員資訊安全意識,提高重視人為疏忽可能引入的資安問題。
4.本公司秉持以最高標準保護資訊安全之決心與責任,持續加強資安防護措施,惟仍可能遭遇惡意軟體及駭客攻擊,一旦發生嚴重事故將可能損及本公司對於客戶及其他利害關係人之承諾,進而對財務造成部份負面影響。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。