資料日期:中華民國113年3月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
1.資通安全風險管理架構:(1)本公司已設置資安專責單位,負責資訊安全治理作業(含專責主管、資安技術、資安控制),每年由資訊安全專責主管與董事長、總經理、總稽核及法令遵循主管聯名出具內部控制制度聲明書,並提報董事會通過。 (2)本公司已導入資訊安全管理系統(ISMS),並通過「ISO 27001:2022資訊安全管理系統」國際標準認證,持續透過外部驗證機構做有效性查核,以符合國際標準認證資訊安全及持續強化資安防護能力,另已導入BS10012個人資訊管理系統(PIMS)並取得認證,以保護內部機敏資料與客戶資料。(3)為建立並提升本公司整體資安意識,提升員工對資訊安全之認知,所有員工每年所需接受之資訊安全相關教育訓練基本時數在3小時(含)以上,資訊安全專責單位人員每年則至少接受15小時以上資訊安全教育訓練,維持整體健全的資通安全管理機制。
2.資通安全政策:本公司資訊安全政策之資訊安全管理體系涵蓋以下之領域: (1)組織控制措施 (2)人員控制措施 (3)實體控制措施 (4)技術控制措施。
3.具體管理方案:(1)管理面:資通安全情資之評估及因應、資安成熟度評估、電腦系統資訊安全評估、資訊安全教育訓練。(2)技術面:行動APP資安檢測、資通安全威脅偵測管理、災害復原演練、電子郵件社交工程演練、分散式阻斷服務攻擊(DDoS)演練、惡意程式擴散暨個資外洩演練、紅藍隊攻防實戰演練、資安防禦系統建置與提升及聯防機制之建立。
4.投入資通安全管理之資源:本公司投入之資訊安全管理資源包含以下面向:(1)建置與提升資安防禦系統,如:防火牆、分散式阻斷服務攻擊DDoS防禦、網路入侵偵測機制管理IPS、網頁防火牆防護WAF、病毒與惡意程式偵測與阻擋、主機型入侵防禦機制管理、端點防護EDR及資料外洩防護(DLP)等系統。(2)建立資訊安全監控管理與聯防機制,如:資安事件分析、資安警訊與情資分析管理等。(3)辦理各項資訊安全評估與檢測,如:行動應用程式資安檢測、網站安全漏洞黑箱檢測、沙箱掃描檢測、滲透測試、主機及物聯網設備弱點掃描、偽冒網站偵測、外部資安風險評級、資安成熟度評估、網路釣魚之防範等。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
最近年度無發生重大資通安全事件,本公司於「資安通報與回覆作業管理程序」已訂定資通安全事件通報、應變及演練相關機制,能即時掌控資通安全事件,並有效降低其所造成之損害。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
本公司除以各項資安管控措施以降低各類資訊安全事件所可能帶來之衝擊與影響,並進一步投保國外保險公司之「資訊安全保障保險」,以轉嫁其風險、降低事故損失並確保公司聲譽與客戶權益。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。