資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
一、 為確保本公司之資通安全制度有效運作,本公司以ISO/IEC 27001國際標準為基礎建構資通安全管理體系,並已取得持續有效之ISO/IEC 27001資訊安全管理制度認證,亦採納ISO/IEC 27001之建議,參考ISO 31000(風險管理系統原理及指導綱要)建置資通安全風險管理架構。
二、 本公司訂有「資訊安全政策」,該政策係遵循主管機關之資安相關法令與規範,並以本公司資通安全目標為基礎而擬定,希冀透過落實政策以強化本公司資通安全管理,確保資訊之可用性、完整性、機密性及適法性。
三、 本公司資通安全目標以維護客戶權益及發揮最大綜效為基礎,並以「保護資訊資產安全」及「維持業務持續運作,以達企業永續經營」為目標,保護客戶權益為基礎,進而達成本公司之使命及願景。
四、 本公司設置「資訊安全委員會」,由總經理為主任委員,風控長、營運督導、資訊督導、財務會計督導、業務督導、精算督導、客戶服務督導擔任委員,由總稽核及法務暨法令遵循部主管或法務暨法遵督導列席,定期召開會議討論及審議集團各公司資訊發展、資訊安全及管理等議題。
五、 為建立本公司整體資安意識,提升員工對資訊安全之認知,所有員工每年所需接受之資訊安全相關教育訓練基本時數在3小時(含)以上,資訊安全專責單位人員每年則至少接受15小時以上資訊安全教育訓練。
本公司訂有「資訊安全評估計畫」定期檢視,整體電腦系統安全控制措施之完整性與妥適性。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
一、 本公司近一年未發生重大資通安全事件。
二、 本公司自各項可能的安全威脅中,分析出資通安全事件可能造成的風險包括:
(一) 駭客透過系統存在之弱點攻擊公司網路及系統,導致資料外洩。
(二) 駭客透過網路發動大規模數量的連線或網路流量,阻斷公司正常網路的運
作。
(三) 駭客以利用偽冒的電子郵件、釣魚郵件入侵同仁電腦,散佈具有惡意連結的
內容,使受害電腦資料被加密綁架,要求付出高額贖金。
(四) 天然災害造成資訊軟硬體或受到損害,導致服務中斷或資料遺失。
針對上述資通安全事件可能造成的影響,本公司將依循本公司「資訊安全政策」與「保險業辦理資訊安全防護自律規範」,實施各種演練與強化資訊安全教育訓練,透過技術面與管理面控管措施併行,以維護本公司資訊安全。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
(一) 本公司運用新興應用科技,提供更快速更方便的數位化服務,透過ISO/IEC 27001資通安全風險管理架構,評估資通安全風險多半肇因於外在之網路安全威脅及員工之不安全行為,例如網路駭客入侵攻擊、網路服務阻斷式攻擊、勒索病毒、社交工程網路釣魚郵件攻擊等,前述風險情境對本公司產生之潛在影響包括財務/商譽損失、機敏/顧客隱私資料遭竊取或竄改、以及營運效能低落等,本年度截至本財務報告日止,並未評估出高風險情境。
(二) 為使本公司於資訊安全事故、天然災害或不可預知之事件發生時,能保護資訊系統持續服務能力,避免客戶權益及關鍵業務遭受內、外部蓄意或意外之威脅,規劃透過以下措施以降低對營運中斷之可能與衝擊,及對財務業務之影響:
(三) 定期辦理系統復原演練、DDoS攻擊演練、資安事故通報與處理演練、網站與系統進行滲透測試、弱點掃描與原始碼檢測等,以落實資訊基礎設施的安全和網路資安防護,並保護公司資訊安全。
(四) 本公司因應ISO/IEC 27001於2022年10月25日公告ISO/IEC 27001:2022,已規劃於2024年辦理改版驗證作業,並於實施驗證的準備工作過程中,重點檢視本公司於資通安全威脅情資管理、使用雲端服務管理、網頁過濾管理、組態管理、資料洩漏預防、資料刪除/遮罩、安全程式撰寫、營運持續之資通訊科技備妥性、實體安全監控、與監視活動等新增控制措施要求之落實情形,必要時進行優化(政策調整或實務做法調整)以符合新版國際標準要求。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。