跳到主要內容
:::

南山產物保險股份有限公司 - 資訊公開說明文件

公司治理 - 資通安全管理
資料日期:中華民國112年3月
項目 申報內容
敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。 本公司秉持「資安暨國安」的精神,導入了ISMS ISO 27001 國際資訊安全管理架構,並遵循著資安金三角機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),保護重要交易與客戶資料,並設立了資訊安全專責主管一職,負責規劃、監控、組織及執行資訊安全管理作業,且每年由資訊安全專責主管與董事長、總經理、總稽核及法令遵循主管聯名出具內部控制制度聲明書,確實遵循法令法規。除持續強化自身資安縱深防禦外,每年依據「保險業辦理資訊安全防護自律規範」,委由國際知名資安顧問公司進行資安健診,猶如定期健康檢查般的高標準檢視。此外,本公司是金融資安聯防中心F-ISAC 成員,經由金融資安聯防及資安情資共享的體制,完善資安整體文化及制度。為持續深化資安管理,本公司針對資安管理技術面及管理面,積極以資安風險為導向來評估資安成熟度,透過「資訊安全電腦系統評估作業原則」,檢視公司資訊安全政策面及法令法規遵循,並持續循環精進;資安技術面則以資訊架構檢測等多項作業,審視資安防禦的有效性,已達成由上到下「防微杜漸」的資安管理;為因應駭客攻擊的多樣性,目前已導入特權帳號管理系統、資料外洩防護系統、駭客偵測與防禦設備等多樣監控機制,自動化針對本公司網路及系統環境進行資安檢測掃描,預先發現各系統之安全缺陷或漏洞,將問題解決在問題發生之前。面對瞬息萬變之網路攻擊手法,已建置多樣異質性設備來強化防禦縱深。
列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。 111年度本公司並無發生重大資通安全事件。 為使本公司於因應資訊安全事故、災害或不可預知之事件發生時,能保護本公司營運持續能力及資訊系統安全性、完整性與可用性,同時避免本公司客戶權益及關鍵業務遭受內、外部蓄意或意外之威脅。本公司規劃透過以下因應措施降低對營運中斷之可能與衝擊,及對財務業務之影響: 1.本公司業定期辦理核心資訊系統災難備援演練、DDoS演練、電腦系統資訊安全評估、對外網站滲透測試及全公司社交工程演練,以落實資訊基礎設施的安全和網路資安防護,並保護公司機敏資料與個人資料。 2.為強化委外作業的資訊安全,本公司各單位皆會配合業務單位,定期對處理客戶資訊之受委託機構進行查核,評估其資安風險及合規性,藉此強化資訊安全並降低資訊外洩之風險。 除上述之機制,本公司持續強化資訊安全防護、辨識、監測、應變及預警能力,健全資訊安全管理。112年仍將基於資通安全藍圖規劃,調整資安規範與流程,以因應不斷變化的資安威脅,提升資安監控與防護的廣度與深度,並將資訊安全視為組織文化的一部份。
資通安全風險對公司財務業務之影響及因應措施。 本公司每年與公正第三方知名資安顧問公司,從內外部威脅與弱點的多維度分析,可能造成的風險包括: 1.詐騙集團利用偽冒的電子郵件及簡訊,誘騙保戶匯款或交易。 2.商業間諜或競爭對手運用駭客技術,持續滲透內部主機,竊取企業內部資料。 3.犯罪集團結合駭客,透過電子郵件、簡訊、社群軟體、通訊軟體,散佈具有惡意連結的內容,使受害電腦資料被加密綁架,要求付出高額贖金。 4.駭客透過網路發動大規模數量的連線要求,阻斷公司正常網路的運作。 5.內部員工使用非法軟體或將公司機敏資料複製到隨身儲存裝置,因遺失、遭竊 或販賣,致使資料外洩。 6.天災人禍造成資訊軟硬體或受到損害,導致服務中斷或資料遺失。 針對上述資通安全事件可能造成的風險與影響,本公司將運用資訊安全管理準則、實施各種演練與強化資訊安全教育訓練,透過技術面與管理面管理措施併行,多管齊下做好資訊安全的控管,重點措施列示如下: 1.強化資安監控分析之核心-安全性資訊與事件管理系統(SIEM),持續提升系統收容資安日誌之廣度與深度,並強化關聯性分析,提升發現可疑資安事件的速度。 2.辦理駭客滲透測試,委請專業資安顧問,以駭客思維實際對公司網路進行攻擊,找出潛在資安問題並改善。 3.持續進行社交工程攻擊模擬演練,並提供資安教育訓練,提升員工對於郵件防護與商業詐騙之意識。 4.主機集中管理,建立機房環控與告警機制,定期執行資料備份,並每年執行災難備援演練。 5.運用郵件過濾及郵件稽核系統,降低電子郵件使用的風險。 6.透過資料外洩防護管控系統與磁碟加密技術,保護文件機密性。 7.用戶端安裝防毒與監管軟體,封鎖USB儲存裝置的連接與自行安裝軟體的權限。 除上述管理措施,本公司為建立整體資安意識,提升員工對資訊安全之認知,所有員工每年所需接受之資訊安全相關教育訓練基本時數在3小時(含)以上,資訊安全專責單位人員每年則至少接受15小時以上資訊安全教育訓練,維持整體健全的資通安全管理機制。

※附註
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率
除主管機關另有規定外,應於年度終了後三個月內更新。

金融監督管理委員會保險局 版權所有
220232 新北市板橋區縣民大道二段7號17樓 電話:(02)8968-0899 傳真:(02)8969-1300
紐約辦事處:1 E.42 Street, 13F, New York, NY 10017, U.S.A. Tel:(1-212) 317-7326
倫敦辦事處:Level 17, 99 Bishopsgate, London EC2M 3XD,United Kingdom Tel:(44-20)7628-1501

歡迎連結使用金融監督管理委員會網站資料。引用時,請註明資料來源,請確保資料之完整性, 不得任意增刪,亦不得作為商業使用。

我的e政府 通過A檢測等級無障礙網頁檢測