資料日期:中華民國113年4月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1. 本公司秉持母公司對資安重視的精神,已導入ISO 27001 國際資訊安全管理架構,並遵循著資安以機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)之三要素,以能保護重要資訊作業與客戶資料,並設立了資安專責單位及專責主管一職,負責規劃、監控、組織及執行資安管理作業,且每年由資訊安全專責主管與董事長、總經理、總稽核及法令遵循主管聯名出具內部控制制度聲明書,確實遵循法令法規。
2. 除持續強化自身資安縱深防禦外,每年依據「保險業辦理資訊安全防護自律規範」,委由專業的第三方資安顧問公司進行電系統資安評估檢測作業,其猶如身體的定期健康檢查般的高標準檢是否有無發現弱點的風險。
3. 本公司是金融資安聯防中心F-ISAC 成員,經由金融資安聯防及資安情資共享的體制,完善資安整體文化及制度。
4. 為持續深化資安管理,本公司針對資安管理技術面及管理面,積極以資安風險為導向來評估資安理的風險管控,透過「資訊安全電腦系統評估作業原則」,檢視公司資訊安全政策面及法令法規遵循,並持續循環精進;資安技術面則以資訊架構檢測等多項作業,審視資安防禦的有效性,目前已導入特權帳號管理系統、資料外洩防護系統、駭客偵測與防禦設備等多樣監控機制,自動化針對本公司網路及系統環境進行資安檢測掃描,預先發現各系統之安全缺陷或漏洞,將問題解決在問題發生之前。面對瞬息萬變之網路攻擊手法,已建置多樣異質性設備來強化防禦縱深。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
112年度本公司無發生重大資通安全情事
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
經評估資通安全風險對公司財務業務之影響及風險影響: 一、對公司財務影響: 遭遇駭客攻擊對本公司業務營運有重大衝擊,如個資外洩及DDoS等攻擊造成對外網站服務中斷,遭駭客要求支付勒索金,造成本公司商譽及金錢損失。 二、發生風險之作業機制:
(一) 事前防護:建立網路防禦縱深機制,強化本公司資安防護設備、落實資料備份管理、建立及落實資訊安全教育訓練,以及定期執行相關演練作業。
(二) 事中應變:發生資安事件時,應立即判斷事件重要性,依發生事件啟動應變作業,如為重大事故應向主管機關及公會通報,必要時尋求外部資安單位或向刑事局報案。
(三) 事後復原:發生資安事件後應執行復原工作,並透過惡意樣本分析,修正改善現有不足之資訊安全防護機制,強化本公司資訊安全防護,減少外部攻擊發生之情事。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。