資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.本公司已建置「ISO/IEC 27001」國際標準之資訊安全管理制度(Information Security Management System, ISMS)。成立資訊安全委員會架構如下圖,每年定期召開資訊安全政策管理會議,並向董事會報告年度資訊安全整體執行情形。
2.本公司已於112年度持續投保明台產物保險之資安保險,承保範圍包含資料外洩、網路勒索與網路犯罪等網路安全事件,第三方求償部分包含保密與隱私責任、網路安全責任、媒體責任,投保金額新台幣10,000,000元整。
3.本公司每年皆對全體員工實施「資訊安全宣導教育訓練」達3小時,各單位完訓率達100%,另資安專責單位人員每年接受15小時以上專業資訊安全訓練。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
無
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
為防範資通安全對公司財務之影響,本公司依據下列措施進行資安防護措施:
1. 配合ISO27001規範,每三年需執行換證作業,本公司ISO27001資訊安全管理作業,已於112年11月通過英國標準協會(BSI)驗證通過,確認證書持續有效。依循此國際標準,確保資訊作業之機密性、完整性及可用性,落實資訊安全維護及檢討改善,俾提供更穩定、更安全、更優質的資訊服務。
2. 本公司依據金管會備查之「保險業辦理電腦系統資訊安全評估作業原則」,112年度辦理第一類資訊安全評估作業,評估項目包含(1)資訊架構檢視(2)網路活動檢視(3)網路設備、伺服器及終端機等設備檢測(4)網路設備、伺服器及物聯網等設備且連線至Internet者應辦理事項(5)安全設定檢視(6)合規檢視(7)社交工程演練(8)DDoS網路阻斷攻擊演練等檢測項目。
3.本公司為提高資訊安全作業,依「保險業辦理資訊安全防護自律規範」,每季針對伺服器系統進行掃描作業,時刻關注系統風險,以符合主管機關資訊安全要求。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。