資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
(一) 資通安全風險管理架構
為長期致力於資訊安全制度的建立、法令規範的遵循,為確保風險管理三道防線機制及資安治理之獨立監督功能,本公司自107年8月1日成立資安專責單位,並於110年1月1日組織改組後隸屬於風險管理部,其專責於資安及個資保護之管理與督導,並藉由「資訊安全暨個資保護委員會」推展資安管理及認知至各單位之資訊作業流程。
1. 資訊安全室
負責資安及個資保護之規範制訂、法令要求遵行及推動、資安管理系統運行、評估並導入相關之資安技術防護機制與管控措施、建立資安監控機制、資安事件之分析、通報與應變機制及強化資安認知訓練等。截至112年12月31日止資安專責人員共計3位,且總計持有8張資安專業證照。
2. 資訊安全暨個人資料保護推行委員會
為因推展應資安治理業務與個資保護等要求,以形塑本公司資安與個資保護之意識與文化,故於 106 年設置「資訊安全暨個人資料保護推行委員會」,為本公司之經營高層及各部門高階主管參與資安管理之決策組織,負責資安相關政策、發展規劃及執行成效之審查,實現資安治理,貫徹資安政策的延續與落實,持續公司資安體系的周延與韌性,確保公司資訊資產之機密性、完整性及可用性,進而善盡公平待客原則義務,達成企業永續經營之目標。
(二) 資通安全政策
衡酌本公司營運目標發展需求,其相關之資通政策之制定方向以確保各單位之資訊作業具機密性、完整性、可用性要求,避免遭受內、外部蓄意或意外之威脅,。
(三) 具體管理方案
1. 資訊安全管理系統
藉由導入 ISO 27001國際標準,以建立資訊安全的完整管理機制,訂定相關資訊安全管理章則,,以風險管理方法,進行資訊資產盤點及風險評鑑作業,以釐清資訊作業資產所面臨的風險,藉由落實P-D-C-A(plan-do-check-act)持續改善的機制,執行各項資訊安全管控作業,持續強化本公司資安體系周延與韌性。
2. 資安防護機制
人力資源安全:
(1) 舉辦社交工程攻擊演練及資安教育訓練,強化員工對資安威脅警覺性並提升資安意識。
(2) 執行新進員工簽署保密協議,說明員工對資訊安全應負之責任。
網路安全
(1) 建置防火牆、入侵偵測或防禦、惡意軟體防護、資料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等防禦機制,防範網路攻擊。
(2) 調節網站流量及效能管理,抵抗分散式阻斷服務 (DDoS)攻擊。
(3) 建置資安監控機制,強化內、外部威脅情資掌握與應變。
端點安全
(1) 佈署端點裝置安控軟體,提升裝置安全性。
(2) 定期軟體更新與弱點掃描,防範漏洞威脅。
應用系統安全
(1) 制定應用系統開發流程及維護辦法,管理系統版本變更。
(2) 執行源碼弱點掃描、滲透測試及系統更新,防範漏洞威脅。
資料安全
(1) 執行資訊資產分級與隱私保護管理,以保護公司重要資料。
(2) 進行資料庫加密與存取權限控管,以確保資料安全。
(3) 制定系統資料備份還原策略,以確保資料可用性。
資訊作業委外安全
(1) 資訊作業委外供應商簽署保密協議,說明供應商對資訊安全應負之責任。
(2) 制定供應商須遵守之相關資安規範,確保供應鏈資訊安全。
遠距辦公安全
(1) 限定使用公司配發設備,且執行雙因子驗證機制控管與異常登入行為監控,強化身分識別與認證。
(2) 定期變更密碼與複雜強度要求,強化密碼安全。
3. 投入資通安全管理之資源
(1) 本公司依規除全體同仁已完成三小時以上資安認知宣導課程外,資安專責人員業已完成十五小時以上資安專業課程訓練,並取得相關資安證照。
(2) 現已制訂共計37 項資安及隱私保護相關章則,本年度已檢視及修訂共計21項章則以因應法規及實務運作異動。
(3) 本年度已完成3 項資安及個資防護相關演練,此外辦理除檢視公司整體電腦系統控制措施之機密性、完整性、可用性與法規遵循之有效外,同時發現資安威脅與弱點,以強化並提升資訊系統作業與安全的防護能力
(4) 本年度已完成4項包含網頁安全管理、伺服器安全管理、資料安全管理、使用者端資訊安全管理等相關資安防護專案,以因應日新月異之新型態資安威脅,及持續強化各面向之資安防護設施,降低資安風險
(5) 本年度共計有8項資安內、外部查核作業,其中應加強改善事項,皆已完成改善措施。
(6) 另為預防資安事故造成本公司重大損失,已從110 年起投保「安全與隱私保護保險」。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
本年度未發生重大資通安全事件及遭受損失。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
1.本公司每季對內外部資訊作業系統執行弱點掃描及每年網站滲透測試,並就前述作業之發現事項,要求資統負責人完成修補作業,以減低資訊作業系統或相關資訊資產之資安風險。
2.風險管理部每年辦理業務持續演練計畫,確保資訊作業系統面臨異常狀況時的應變能力,強化資安韌性。
3.本公司委外資安監控中心(SOC, Security Operation Center)服務機制,透過資安監控中心 7x24 維運監控,多維度關聯分析資通安全設備、網路設備、作業系統等日誌,能即時預警通報及判斷資安事件、異常連線等行為,並建立處理追蹤機制,落實資安管控措施
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。