資料日期:中華民國113年4月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1. 資通安全制度
本公司已導入了ISMS ISO 27001 國際資訊安全管理架構,並遵循著資安金三角機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),保護重要交易與客戶資料,並設立了資訊安全專責主管一職,負責規劃、監控、組織及執行資訊安全管理作業,且每年由資訊安全專責主管向董事會報告前一年度資訊安全整體執行情形,並與董事長、總經理、總稽核及法令遵循主管聯名出具內部控制制度聲明書,確實遵循法令法規。除持續強化自身資安縱深防禦外,每年依據「保險業辦理資訊安全防護自律規範」,委由國際知名資安顧問公司進行資安健診,猶如定期健康檢查般的高標準檢視。此外,本公司是金融資安聯防中心F-ISAC成員,經由金融資安聯防及資安情資共享的體制,完善資安整體文化及制度。
2. 資通安全管理
為持續深化資安管理,本公司針對資安管理技術面及管理面,積極以資安風險為導向來評估資安成熟度,透過「資訊安全電腦系統評估作業原則」,檢視公司資訊安全政策面及法令法規遵循,並持續循環精進;資安技術面則以資訊架構檢測等多項作業,審視資安防禦的有效性,已達成由上到下「防微杜漸」的資安管理;為因應駭客攻擊的多樣性,目前已導入特權帳號管理系統、資料外洩防護系統、駭客偵測與防禦設備等多樣監控機制,自動化針對本公司網路及系統環境進行資安檢測掃描,預先發現各系統之安全缺陷或漏洞,將問題解決在問題發生之前。面對瞬息萬變之網路攻擊手法,已建置多樣異質性設備來強化防禦縱深。自民國112年起,本公司導入對外數位資產資訊安全監控(DRP)服務,提供外部數位化服務及資產之資安曝險狀況,透過潛在風險及威脅分析,採取必要之資安對策,降低風險至可接受程度,也讓本公司更能精確且快速地盤點對外數位資產之合縱效益。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
112年度本公司並無發生重大資通安全事件。 為使本公司於因應資訊安全事故、災害或不可預知之事件發生時,能保護本公司營運持續能力及資訊系統安全性、完整性與可用性,同時避免本公司客戶權益及關鍵業務遭受內、外部蓄意或意外之威脅。本公司規劃透過以下因應措施降低對營運中斷之可能與衝擊,及對財務業務之影響: 1.本公司業定期辦理核心資訊系統災難備援演練、DDoS演練、電腦系統資訊安全評估、對外網站滲透測試及全公司社交工程演練,以落實資訊基礎設施的安全和網路資安防護,並保護公司機敏資料與個人資料。 2.為強化委外作業的資訊安全,本公司各單位皆會配合業務單位,定期對處理客戶資訊之受委託機構進行查核,評估其資安風險及合規性,藉此強化資訊安全並降低資訊外洩之風險。 除上述之機制,本公司持續強化資訊安全防護、辨識、監測、應變及預警能力,健全資訊安全管理。113年仍將基於資通安全藍圖規劃,調整資安規範與流程,以因應不斷變化的資安威脅,提升資安監控與防護的廣度與深度,並將資訊安全視為組織文化的一部份。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
本公司每年與公正第三方知名資安顧問公司,從內外部威脅與弱點的多維度分析,可能造成的風險包括: 1.詐騙集團利用偽冒的電子郵件及簡訊,誘騙保戶匯款或交易。 2.商業間諜或競爭對手運用駭客技術,持續滲透內部主機,竊取企業內部資料。 3.犯罪集團結合駭客,透過電子郵件、簡訊、社群軟體、通訊軟體,散佈具有惡意連結的內容,使受害電腦資料被加密綁架,要求付出高額贖金。 4.駭客透過網路發動大規模數量的連線要求,阻斷公司正常網路的運作。 5.內部員工使用非法軟體或將公司機敏資料複製到隨身儲存裝置,因遺失、遭竊 或販賣,致使資料外洩。 6.天災人禍造成資訊軟硬體或受到損害,導致服務中斷或資料遺失。 針對上述資通安全事件可能造成的風險與影響,本公司將運用資訊安全管理準則、實施各種演練與強化資訊安全教育訓練,透過技術面與管理面管理措施併行,多管齊下做好資訊安全的控管,重點措施列示如下: 1.強化資安監控分析之核心-安全性資訊與事件管理系統(SIEM),持續提升系統收容資安日誌之廣度與深度,並強化關聯性分析,提升發現可疑資安事件的速度。 2.辦理駭客滲透測試,委請專業資安顧問,以駭客思維實際對公司網路進行攻擊,找出潛在資安問題並改善。 3.持續進行社交工程攻擊模擬演練,並提供資安教育訓練,提升員工對於郵件防護與商業詐騙之意識。 4.主機集中管理,建立機房環控與告警機制,定期執行資料備份,並每年執行災難備援演練。 5.運用郵件過濾及郵件稽核系統,降低電子郵件使用的風險。 6.透過資料外洩防護管控系統與磁碟加密技術,保護文件機密性。 7.用戶端安裝防毒與監管軟體,封鎖USB儲存裝置的連接與自行安裝軟體的權限。 除上述管理措施,本公司為建立整體資安意識,提升員工對資訊安全之認知,所有員工每年所需接受之資訊安全相關教育訓練基本時數在3小時(含)以上,資訊安全專責單位人員每年則至少接受15小時以上資訊安全教育訓練,維持整體健全的資通安全管理機制。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。