資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.資通安全風險管理架構:
本公司導入國際管理標準,包含資訊安全管理系統(ISMS)、個人資訊管理系統(PIMS),並分別通過ISO/IEC 27001:2013及
ISO/IEC 27001:2019兩項國際標準認證,且每年透過第三方驗證機構查核,持續維持國際管理標準制度的有效性。另為建立由上而下個人資料保護與資訊安全的企業文化,董事長核定通過成立「個人資料暨資訊安全管理委員會」,由高階管理階層擔任主任委員、各單位主管擔任委員,表達公司的高度重視,並落實執行個人資料保護與資訊安全的風險管理工作,定期召開管理委員會與管理審查會議,確保公司營運安全並維護消費者權益。
2.資通安全政策:
(1). 確保本公司所屬之資產之機密性、完整性、可用性及正確性,提供持續營運發展之所需,並配合主管機關資訊安全管理政策之推動,持續提升資訊安全之防護能力。
(2). 資訊安全是本公司全體員工的共同責任,各級員工必須充分理解並貫徹所負職責。
(3). 資訊安全管理系統的建立和維持,完全依據法律法規的要求及合約的安全責任,並和公司的組織風險管理背景相結合。
(4). 為有效管控資訊安全風險,必須建立包括風險評估方法、資訊安全法律法規要求、接受風險的標準及風險之可接受程度等之風險評估曁作業管理程序並落實執行。
(5). 建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及適當處理。
(6). 定期執行資通安全稽核作業,以確保資通安全管理落實執行。
(7). 定期實施資通安全教育訓練,確保資訊安全認知與防範知識嵌入各項業務活動。
(8). 每年至少召開一次管理審查會議,審核資訊安全業務執行狀況,建立管理指標量測方式與評估管理指標量測結果。
(9). 每年應至少檢視一次重要關鍵營運流程,且進行一次ERP持續演練。
(10). 違反本政策與本公司之資訊安全相關規範,依相關法規或本公司懲戒規定辦理。
3.具體管理方案:
(1). 網路架構層面,建立多層次縱深防禦機制,包含有:內外部網路防火牆(Firewall)、網站應用程式防火牆(WAF)、網路防毒牆(VirusWall)、入侵防護系統(IPS)、網頁安全防護(Web Filter)、網路安全IP/MAC管控、端點防護與威脅偵測應變機制(EDR/MDR)、線路負載平衡設備、社交工程與阻斷服務攻擊(DDoS)演練及防護機制、支付卡產業資料安全標準(PCI DSS)等。
(2). 資訊資產管理層面,建立權限最小化與定期辦理各項資訊安全檢測及持續性防護監控機制,包含有:每年辦理入侵滲透測試、行動應用APP基本資安檢測、端點及伺服器與物聯網弱點掃描、每季辦理網際網路系統弱點掃描、系統服務上線前進行源碼檢測、安全資訊與事件即時監控分析、特權管理系統實施權限最小化、自動阻斷非授權設備的網路存取使用、資訊應用環境網路區隔、電子郵件與電子檔案文件自動加密機制、員工上網行為管控、資料外洩防護(DLP)等措施。
(3). 作業程序管理層面,遵循並符合主管機關相關法令,適時更新調整資通安全風險管理政策,並依層級送交董事會或高階管理階層核定。
4.投入資通安全管理之資源:
「個人資料暨資訊安全管理委員會」由高階管理階層擔任主任委員,督導本公司資通安全內外部議題、關注者(Interested Party) 對於資訊安全及個人資料保護的需求與期望,分配適當資源並審視其績效,另設置資訊安全專責單位及主管,負責規劃及推動、執行資訊安全相關工作。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
近年度未發生重大資通安全事件。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
如發生重大資通安全事件事故,資通安全風險可能影響公司財務業務,如:個資外洩或勒索病毒事故。本公司持續完善資訊應用安全管理因應措施,設置資訊安全專責單位及主管,負責綜理發展資訊安全策略與方針,建立通過國際標準規範的資訊安全管理制度及作業流程,整體持續監控及維護資訊安全的有效性,維持實體及資訊應用環境運作安全。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。