資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.本公司資安風險管理架構:
本公司面對保險數位時代來臨及日新月異的資安攻擊手法,除積極強化科技競爭力,也同步落實資訊安全與個人資料保護管理,108年已依法設置具職權行使獨立性之資訊安全專責單位。由專責單位領導、規劃及控制組織之資訊安全流程,確保與各階層人員進行有效溝通,依資訊安全管理系統國際標準(ISO 27001)管理架構,遵循「規劃(Plan)、執行(Do)、檢查(Check)、行動(Act)」之運作宗旨與持續改善模式,深化公司資訊安全管理制度作業。並設有資訊安全指導委員會,由總經理指派資訊安全長擔任主席,並由組織負責資訊安全的高階主管擔任成員,轄下設置資訊安全執行分組、資訊安全查核分組與緊急處理等三個工作分組,確保資訊安全實施與控制。
112年因應金融資安行動方案要求,遴聘勤業眾信聯合會計師事務所風險諮詢服務執行副總帶領之資訊安全專業團隊,擔任本公司資安諮詢小組,增進經營階層對資安的監督職能。並於112年9月舉辦董事會資訊安全教育訓練,分享各項資訊安全情資及議題。
2.本公司資通安全政策:
本公司業自105年開始導入資訊安全管理系統(ISMS),訂定「資訊安全政策」,核決層級為董事會,透過每年定期檢視或於發生重大變動時重新評估,以符合相關法令、技術及組織、營運之最新發展現況。
3.本公司具體管理方案及投入資安管理之資源:
因應管理方案投入之重點管理資源:
(1)辦理包含資訊資產盤點作業、風險評鑑作業、營運持續管理作業、資安內稽作業、112年5月及112年10月共召開兩次資訊安全指導委員會議、持續通過國際標準ISO 27001:2013認證、資訊安全評估作業、資安演練等各項活動。111年亦持續擴大品牌暨數位整合發展部及大數據發展處通過資訊安全管理系統國際標準(ISO 27001)認證,並於112年11月完成驗證,持續維持證書之有效性。
(2)自106年12月完成首次驗證個人資料管理系統(BS10012) ,109年擴大驗證範圍(台南倉儲)且完成重審驗證。於111年再將認證範圍擴大,涵蓋總公司暨各分公司所有部門之個資蒐集、處理與利用流程,以確保本公司內部個人資料風險控制符合公司治理之要求,善盡本公司對於保戶之注意與忠實義務,並於112年11月完成驗證,持續維持證書之有效性。
(3)持續優化資安監控中心(SOC)能量,建置7*24監控環境部署、監控服務、資安事件處理及資安威脅預警機制,利用資安情資進行資訊系統監控經驗,以強化公司整體資安監控與通報機制。
(4)布局中長期二線資安監控需求,建置具備AI資安分析能力與機制之工具,針對網路攻擊活動資安防禦能力,建立即時偵測及主動封鎖外部持續性滲透攻擊能力,導入進階持續性威脅系統(APT),亦為加強公司端點設備(伺服器與個人電腦)對新形態惡意程式與勒索病毒的即時偵測及主動防禦能力,建置端點偵測與反制系統(EDR),持續強化安全性資訊與事件管理平台(SIEM) 收容更多系統記錄,整合公司各項資通設備系統紀錄加強整體資安監控與分析機制,以將相關作業規劃與管理更臻完整。
(5)辦理各項資訊安全評估與檢測,如:資訊架構檢視、網路活動檢視、網路設備、伺服器、終端設備及物聯網設備等設備檢測、客戶端應用程式檢測、安全設定檢視、資訊系統可靠性與安全性侵害和社交工程演練,以確保公司資安防護之落實。
(6)參與金融資安聯防F-SOC與F-ISAC,及時掌握我國金融機構分享之情資,早期防堵威脅及進行防護,降低公司資安威脅之機率。
(7)完成資安治理成熟度評估,依F-ISAC建議參採美國聯邦金融機構監督委員會於2015 年6 月所公布之「網路安全評估工具」(Cybersecurity Assessment Tool, CAT ),進行資安治理成熟度評估作業,評估結果於各網路安全領域之表現皆優於標準建議組織成熟度之等級。
(8)強化及精進同仁資訊安全認知教育,依法規辦理全公司一般人員三小時資安宣導課程;資訊安全專責單位人員辦理十五小時以上資訊安全專業課程訓練或職能訓練,以強化資訊作業與資安專責人員安全意識與累積專業能量。年度資訊安全教育訓練總時數為6611小時。
(9)為強化及提升公司聯隊組織整體資訊安全,且驗證公司的偵測及應變能力,故於112年9月辦理網路攻防紅隊演練,透過模擬實際攻擊者對企業進行全面性的入侵演練。以了解企業實際弱點並及時強化各項資安防護,降低公司遭受資安攻擊之機率。
(10)綜上具體管理方案及投入資安管理之資源後,本公司112年無重大資通安全事件及無客戶個資資訊遭竊取事件發生。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
最近年度因重大資通安全事件所遭受之損失:無。
本公司於「重大偶發事件處理及通報作業管理辦法」已訂定重大資通安全事件通報、應變相關機制,能即時掌控資通安全事件,並有效降低其所造成之損害。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
過往資安攻擊以破壞關鍵資訊系統、竊取營業秘密等為主要風險,故公司持續導入進階持續性威脅系統(APT),且每年執行相關資訊安全檢測,亦為加強公司端點設備(伺服器與個人電腦)對新形態惡意程式與勒索病毒的即時偵測及主動防禦能力,建置端點偵測與反制系統(EDR)。透過善用上述智慧前瞻科技淬鍊有效情報及加入金融資安聯防,加強資安縱深防禦,並訂定資通安全事件通報、應變及演練相關機制,能即時掌控資通安全事件,降低公司財務損失。
除致力於自身資訊安全能力提升,本公司亦領先業界,透過投保資安險轉嫁風險,降低對財務業務的衝擊。並持續於112年7月完成續保作業,來確保公司整體營運健全與客戶、員工、及股東權益。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。