跳到主要內容
:::

法商科法斯產物保險股份有限公司台灣分公司 - 資訊公開說明文件

公司治理 - 資通安全管理
資料日期:中華民國113年3月
項目 申報內容
敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。 本分公司網絡安全風險管理,是集團對企業風險管理的其中一部分,用以加強本分公司內部管理。   其有助本分公司預測和限制任何內部或外部惡意事件發生的影響,這些事件可能對本分公司資通系統(IT)管理之機密性、可用性、完整性及/或可追溯性產生不利影響。故必須擁有效率的治理方法,才能減輕其網絡安全風險。   本分公司已對IT資產,定分類型和等級,如:對客人服務方案、IT應用程序、數據或訊息(個人、銀行及保險、技術或戰略)、硬軟體、員工等類型,作出風險評估,分類處理。   若處理不當,本分公司可能會面臨財務、聲譽和法律風險。所以,本分公司已對網絡安全風險管理定下目標: •通過風險管理推動網絡安全,符合集團的企業風險管理框架,並適用於集團實體的監管要求和市場標準; •使網絡安全成為創造新服務的增長機會,包括預測發展(新威脅、新技術等)並滿足客戶期望; •將網絡安全方法整合到公司的所有重要流程中; •制定網絡安全行動計劃,重點關注針對不同企業/地區/國家面臨的相同問題選擇通用解決方案; •提高團隊的專業化水平,加強網絡安全活動的橫向技能; •允許企業/職能/地區/國家確保即使以降級的方式提供預期的服務; •在降級情況下,有助於確保快速、安全和可靠地恢復到最接近的正常運行條件; •允許客戶在其訂閱的服務中保持連續性,並以與集團實體面臨或可能面臨的損失影響相稱的方式; •能夠預測並有助於協調管理可能中斷集團活動或損害其品牌形象的危機情況。   以下本分公司資訊安全框架要點,主要包含3個級別: 1. 戰略:分為兩個子層次:原則和戰略目標在網絡安全風險管理政策中概述;規則可以是受制於特定功能要求的文件。 2. 操作:由實施網絡安全風險管理政策的文件組成。這些文件涉及必須實施的安全措施的細節,以涵蓋網絡安全風險以及某些業務、職能、地區、國家的特殊性。 3. 指南:通過提供流程、方法或實施指南的描述來促進安全措施的一致部署。   連同三道內部防線設置: 第一道防線由商業技術提供   由集團首席安全官(CSO)代表,設立防治的運營控制,執行以下行動: •成為集團首席資訊安全官業務技術(BT)的主要聯繫人; •確保在BT部門實施網絡安全風險管理政策; •在操作程序和指南中推出網絡安全風險管理政策; •確保實施和維護安全解決方案; •每年更新網絡安全風險圖; •對要部署的項目、應用程序、外包服務和技術進行網絡安全風險評估; •實現網絡安全1級制的控制; •保持更新的KPI(關鍵績效指標)並向集團首席資訊安全官和相關委員會報告; •檢測、警告和響應網絡事件。 •回應關於運營網絡安全的外部審計; •不斷向集團首席信息安全官通報(BT)實施網絡安全政策而採取的行動。 •地區和國家防線就由當地的CSO和IT經理處理。 •並且指導 IT 安全通訊員,以實施網絡安全政策。 第二道防線由集團風險管理提供   由集團首席信息安全官(CISO)代表與合規和法律部門的管理有關,它導致非運營獨立控制。   因此,集團CISO的使命是: •提出經科法斯集團風險委員會 (CGRC) 驗證的戰略和集團網絡安全風險管理政策; •與集團持續營運經理 (BCM) 合作,指導集團資訊系統安全和業務持續營運委員會; •驗證和控制第一道防線; •培養員工的網絡安全意識和文化; •指導年度入侵測試、安全代碼稽核、紅隊演練、網絡釣魚活動; •在集團內進行實地考察,以評估網絡安全準備情況; •就與資訊安全最關鍵項目或資產相關的風險評估發表意見; •協調相關的網絡安全事件,並酌情通知主管機關; •代表集團向科法斯的股東、主管機關、投資者和專門從事網絡安全風險管理的專業組織報告。 •地區和國家防線由當地風險經理提供第二道防線。 第三道防線由集團稽核部提供   由集團稽核部主管執行檢查,以評估網絡安全風險管理的整體有效性。
列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。 本分公司近年未有發生重大資安事件。本公司為降低資通安全事故,除定期進行各項演練,諸如資訊系統復原、企業持續營運、緊急連絡回報、阻斷攻擊、釣魚郵件、危機處理等演練,藉以加強員工資安意識。
資通安全風險對公司財務業務之影響及因應措施。   若系統因故障無法運作,對工作和服務流程,導致公司不能正常操作,或嚴重到令客戶資料外洩、罰款及影響公司聲譽等。   故BT有以下措施實行控制,來保護資訊和系統安全: 1. 伺服器和主要IT設備,皆存放於伺服器機房內並上鎖。僅授權人員可進入機房,且所有進出皆須記錄。 2. 定期數據備份,以確保備份安全。 3. 及時更新系統和應用程序中的所有安全修補程式,以防止系統受攻擊,而導致未經授權的數據遭入侵或服務中斷。 4. 啟用防毒保護,所有電腦和伺服器皆安裝防毒軟體,來避免任何未知的攻擊,並每週掃描間諜軟體。 5. 強制執行最小權限原則,將帳戶、用戶和計算進程的使用權限,限制在執行合法、日常活動所需的特定資源。 6. 使用多重身份驗證進行遠端存取,防止未經授權的資料存取。 7. 加密靜態和傳輸中的資料,確保資料的安全存儲和傳輸。 8. 實施防火牆、入侵檢測系統(IDS)和入侵防禦系統(IPS)來調節網絡流量,並限制所有未經授權的使用,以防止任何未知的攻擊和資料洩露。 9. 快速檢測和響應入侵攻擊,安全資訊和事件管理(SIEM)系統用於檢測、監控和報告系統內,任何異常活動和未經授權的使用。 10. 網絡安全意識訓練,教育員工了解及識別各種網絡威脅、及其相關採取因應措施、保護自己及公司的安全。

※附註
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率
除主管機關另有規定外,應於年度終了後三個月內更新。

金融監督管理委員會保險局 版權所有
220232 新北市板橋區縣民大道二段7號17樓 電話:(02)8968-0899 傳真:(02)8969-1300
紐約辦事處:1 E.42 Street, 13F, New York, NY 10017, U.S.A. Tel:(1-212) 317-7326
倫敦辦事處:Level 17, 99 Bishopsgate, London EC2M 3XD,United Kingdom Tel:(44-20)7628-1501

歡迎連結使用金融監督管理委員會網站資料。引用時,請註明資料來源,請確保資料之完整性, 不得任意增刪,亦不得作為商業使用。

我的e政府 通過A檢測等級無障礙網頁檢測