資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1. 資通安全風險管理架構 : 本公司設置資訊安全專責單位及主管,負責領導、規劃、監控、執行資訊安全管理作業及程序、資安事件應變等相關業務,並秉持資訊安全管理系統國際標準(ISO 27001)「規劃(Plan)、執行(Do)、檢查(Check)、行動(Act)」與持續改善之宗旨,深化公司資訊安全管理作業。本公司制訂資通安全風險管理程序,每年由資訊安全專責單位依據公司目標、需求、內外部議題、資安威脅等執行資通安全風險評鑑作業,針對資訊資產和運行環境之已知或潛在資通安全風險進行風險識別、風險分析,並依風險發生之可能性和衝擊程度確認風險等級。若評估後之風險等級已超過本公司可接受程度,則擬訂風險處理計畫與因應措施並持續追蹤。資訊安全專責單位每年向執行主管報告資通安全風險評鑑執行成果及風險處理狀況,以利管理高層即時和有效掌握公司資通安全風險狀況。資訊安全專責單位每年向董事會報告前一年度資訊安全整體執行情形,並由董事長、總經理、總稽核、總機構法令遵循主管及資訊安全專責單位主管聯名出具內部控制制度聲明書,提報董事會通過。2. 資通安全政策 : 本公司業自105年開始導入資訊安全管理系統 (ISMS) 並制訂「資訊安全政策」。透過每年定期檢視或於發生重大變動時重新審視、評估,以符合相關法令、科技及組織、營運之最新發展狀況。「資訊安全政策」核決層級為董事會。3. 本公司具體管理方案及投入資安管理之資源: 因應管理方案投入之重點管理資源: (1) 定期辦理包含資訊資產盤點作業、風險評鑑作業、營運持續管理作業、資安內稽作業、電腦系統資訊安全評估作業、召開資訊安全管理審查會議、持續通過國際標準 ISO 27001:2013 認證等各項活動。於 111年完成導入營運持續管理系統 (BCMS) 並於該年通過營運持續管理系統國際標準(ISO 22301)認證,以達到資訊作業韌性之目標 (2) 於 110 年完成驗證個人資料管理系統 (BS10012) ,以確保本公司內部個人資料風險控制符合公司治理之要求,善盡本公司對於保戶個資保護之義務。(3) 採用縱深防禦 (Defense in Depth) 架構,依業務和系統特性區分出多個安全區域,各安全區域間皆配置防火牆,並於網際網路出口建置網路應用防火牆 (WAF) 、入侵預防系統(IPS) 等資安設備防禦駭客攻擊;另部署防毒系統、資料外洩防護系統 (DLP)、郵件安全閘道、網頁代理系統 (Web Proxy) 、端點偵測與回應系統 (EDR) 等資安以及網路行為監視系統,並設有資安監控中心 (SOC) 以進行7 x 24 不間斷之資安監控與回應。因應詐騙、釣魚網站、行動應用程式氾濫及社群媒體假訊息充斥,導入外部偽冒偵測機制,期能在造成損害前,即刻下架偽冒之網站、行動應用程式及社群媒體貼文。(4) 強化及精進員工資訊安全認知訓練,依法規辦理全公司一般人員三小時資安訓練課程;資訊人員每年至少接受 8 小時以上,以及資訊安全專責單位人員每年至少接受15小時以上資訊安全教育訓練。每年進行至少六次社交工程演練,以強化人員資訊安全意識與累積專業技能。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
年度未發生重大資通安全事件及造成損失之資安事件。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
本公司除以各項資安管理和控制措施降低各類資訊安全事件可能帶來之業務衝擊與損失,自 106 年起每年投保資訊安全及資料保護相關保險,以利轉嫁風險、降低事故損失並確保公司聲譽、股東與客戶權益得到保障。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。