資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
一、資通安全風險管理架構
為確保台新人壽資訊安全管理體系能持續有效運作,並妥善保護營運機密與客戶資訊,避免其機密性、完整性與可用性遭受內外部人員有意或疏忽造成之資安威脅,本公司設有「資訊安全推動委員會」,定期召開會議,由資訊處主管擔任召集人,由各相關業管單位組成資安稽核小組、資安執行小組、事件處理小組及文件管理小組,負責本公司資訊安全之維運,相關權責為:(一)協調並決定各議題之實施方案及投入必要之資源;(二)改善資訊安全管理或技術議題之討論;(三)審查資訊安全風險評鑑與風險處理計畫內容之適切性;(四)審查資訊安全稽核作業結果與後續改善執行之進度;(五)內、外部重大議題之回應對策討論與定案;(六)訂定與審查資訊安全管理制度績效指標並適時檢討改善。
在資通安全風險管理上,本公司每年對各資訊資產進行風險評鑑,辨識可能威脅資訊安全之高風險事項,並對其訂定風險處理計畫,以控管至可接受之狀態。同時,為反映風險變化情況並提早預警及因應,本公司訂定資訊安全關鍵風險量測指標(KRI),透過定期量測監控,以緩解潛在的風險事件。
二、資通安全政策
本公司擁有眾多保戶資料、產品及行銷資訊等經營管理之數據,為本公司極重要之資產。因此,為確保本公司之資訊安全,防止未獲授權之使用、複製、揭露、修改或損毀,本公司制訂「台新人壽股份有限公司資訊安全政策」作為公司整體資訊安全管理之最高指導原則,於每年或發生重大變更時,重新評估其內容之妥適性,以符合相關法規、營運管理要求及資訊技術之最新發展現況。
三、具體管理方案及投入資通安全管理之資源
本公司依循「保險業內部控制及稽核制度實施辦法」第6-1條規定,設置資訊安全專責單位,負責規劃整體資訊安全策略發展藍圖、執行與監督及資安監控。
近年來數位科技快速改變民眾的生活,尤其在新冠疫情影響下,民眾對於線上金融服務的需求更為迫切增加。有鑒於數位化服務的趨勢,本公司持續將資安管理與個資保護,列為公司治理中最為重要的任務,除持續優化資訊安全管理系統(ISMS)並通過認證外,在資訊安全控管上,本公司不斷發掘可能會造成危害之資安風險,並且投入資源建構自動化機制以有效防範來自於內外部之資安威脅,如:擴大聯防資通安全威脅偵測管理(SOC)及進階持續性威脅防護(APT)監控範疇、強化資料外洩防護及端點設備上網過濾管理、定期辦理資安演練與測試等。充分展現落實高規格資訊安全、提供客戶安全的服務及系統環境的決心與行動。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
本公司於112年度至年報列印日止無發生任何重大資通安全事件。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
本公司針對各應用系統對公司營運之影響評估,則依照各應用系統特性、功能與所處理資料類型等指標,給予量化權重計分,決定各系統之風險等級及可能之影響範圍與嚴重性,做為進行相關管控措施與必要管理作業之參考。若應用系統營運異常對財務業務有影響或損失時,則進行作業風險損失事件通報並估列損失金額。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。