資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.資通安全風險管理架構
(1)為強化本公司資訊安全管理,確保資料、系統及網路的作業安全,已導入ISO27001資訊安全管理系統(ISMS),為確保資訊安全管理制度之執行,落實資訊安全政策,設置資訊安全推動小組,由督導資訊部之副總經理或以上職務擔任召集人,並由稽核部門代表、法遵部門代表、風險管理部門代表、業務部門代表及資訊部門代表擔任小組委員,定期召開資訊安全推動小組會議,持續強化資訊安全之監控與管理。
(2)設置專責管理單位「資安管理課」,配有資安人員負責公司整體資訊安全治理、規劃、督導及推動執行資訊安全相關事務,並於每年董事會提報年度資訊安全整體執行情形。
2.資通安全政策
由董事會通過並陳報母公司核定「資訊安全政策」,以為建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據,確保本公司重要資訊系統的機密性、完整性及可用性,以保障公司利益及永續經營。
3.資通管理方案
為防範內外部資安威脅,本公司已擬定資安相關防護因應措施,藉以提升整體資訊環境的作業安全。
(1)成立資訊安全管理組織,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本公司之資訊安全要求與期望。
(2)適時更新資訊安全管理制度文件,定期更新資訊資產清冊與執行風險評鑑。
(3)辦理資訊安全教育訓練,全體員工每年至少接受3小時資訊安全宣導課程,資訊安全專責單位人員每年至少接受15小時以上資訊安全專業課程訓練或職能訓練。
(4)外部單位對本公司進行資訊存取或提供服務前,本公司將提供「資訊安全聲明」予外部單位知悉,且外部單位須簽定「資訊安全切結書」,以確保存取本公司資訊資產者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
(5)重要資訊系統建置適當備份、備援機制,並依資訊作業持續營運計畫定期演練,以維持其可用性。
(6)定期檢視資訊安全指標,同時採行必要之因應措施,以維持資訊安全管理制度及管控程序實施之有效性。
(7)確保工作區域場所之作業安全,以防範資訊資產遭竊取或毀損。
(8)資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。
(9)制定資訊安全事件管理程序,由資訊安全緊急處理分組負責重大資訊安全事件之緊急應變處理。
(10)定期執行資訊安全查核及資安演練暨檢測作業,以確保資訊安全管理制度之有效性。
(11)定期辦理年度電腦系統資訊安全評估作業,以改善及提升整體網路與資訊安全防護能力,同時依據評估報告內容缺失程度區分風險等級,同時擬定各風險項目對應之控管措施及處理時限,送稽核單位進行缺失改善事項之追蹤覆查。
4.投入資通安全管理之資源
(1)設立資訊安全推動小組來推動資訊安全相關事務,每季定期召開資訊安全管理審查會議。
(2)設有獨立性之資安專責單位及主管,負責規劃、監控及執行資訊安全管理作業。
(3)本公司電腦系統已投保電子設備綜合保險、資料保護保險,以降低資訊安全事件之風險。
(4)為完備人員及設備的資訊安全管理,已陸續導入相關資安控管系統,如:特權帳號管理、端點個資防護、最高權限管理、日誌收錄、行動裝置防護、資料庫稽核、檔案伺服器軌跡紀錄、伺服器資料夾權限稽核、遠端加密連線及側錄、上網行為管理、網路防火牆、網頁應用防火牆、郵件稽核過濾、防毒、網頁防竄改、網路封包監控平台、弱點管理平台及安全檔案傳輸等系統。
(5)定期辦理資安演練及檢測作業,包含同地及異地備援演練、資訊安全評估作業、行動應用APP檢測、電子商務系統程式原始碼檢測、電子郵件社交工程演練、惡意程式演練及分散式阻斷服務(DDoS)攻擊事件演練等,以強化資安意識及資安事件應變處理程序。
(6)已建置SOC資安監控機制,將電腦系統資訊安全評估第一類、第二類及第三類與營運直接相關設備導入監控範圍,以強化資安事件分析監控告警功能,同時建立檢核、分析及追蹤處理機制。
(7)加入金融資安資訊分享與分析中心(F-ISAC)、台灣電腦網路危機處理暨協調中心(TwCert/CC)、安碁資訊資安監控中心(ACSI SOC)等組織,即時接收及處理資安預警情資,落實金融資安聯防體系。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
無
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
無
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。