永續治理
資訊安全管理
本公司已建置資通安全管理方案,並採用「規劃-落實-檢查-行動」(Plan-Do-Check-Act, PDCA)管理模式,依據ISO/IEC 27001國際標準建立資訊安全管理制度(Information Security Management System, ISMS)。透過持續優化與強化資安管理,確保客戶與內部營運資料的機密性、完整性及可用性,並降低營運風險。
資通安全政策
本公司成立「資訊安全管理委員會」,每年定期審視資訊安全管理制度與執行成效,確保資訊安全管理運作的有效性。建立資訊資產清冊與風險管理機制,針對高於可接受水準的風險,採取適當的風險管控措施,以降低資安風險。
| 資訊資產保護責任 | 資訊資產保護責任 所有使用本公司資訊資產的內部員工、約聘人員與委外廠商,皆應確保資訊資產不受未經授權存取、擅改、破壞或不當揭露。訂定業務持續運作計畫(BCP),並定期演練,確保業務能在突發狀況下持續運行,並隨著組織發展持續調整與更新。建立安全可靠的資訊交易環境,確保業務營運安全並促進企業永續經營。 |
|---|---|
| 客戶資料保護 | 客戶資訊視同本公司業務機密,處理或利用該等資訊時,應依據授權規範,不得逾越授權範圍。 |
| 法規遵循與資安教育 | 全體人員應遵循法規及資通安全政策,主管應督導資訊安全的落實,並持續提升員工的資安意識與合規概念。 |
| 持續改進 | 資安是全體人員的共同責任,透過持續檢討與改善,確保資安制度不斷優化。 |
資通安全管理資源投入
本公司目前配置資安專責單位2名,資安管理委員會10名,並每年投保資安保險保險,保險範圍包含資料外洩回應、行政罰鍰與處罰、復原、營業中斷、網路勒索、網路犯罪、支付卡產業資料安全標準、保密與隱私責任、網路安全責任、媒體責任等範圍。另外, 每年定期舉行管理審查會議,檢視資安策略與制度執行情形,確保資訊安全管理的持續優化與調整。
資通安全風險管理架構與具體管理方案
本公司每年定期執行資安風險評鑑,針對高於可接受水準的資產或作業流程,採取補救措施與加強防禦機制,確保資安風險能夠有效管理與降低。
資訊部門之功能及職責劃分、系統開發及程式修改之控制、編製系統文書之控制、程式及資料之存取控制、資料輸出入之控制、資料處理之控制、電腦機房門禁之控制、系統、檔案及電腦、通訊設備之安全控制、硬體及系統軟體之購置、使用及維護之控制、電腦病毒擴散及網路駭客入侵之防範控制、系統復原計畫、災變備援計畫及測試程序之控制、核心業務委外處理之控制、客戶及公司機密資料之保密及安全防範控制、電腦犯罪之防範控制、依所屬商業同業公會訂定之自律規範辦理。
資安工程測試及防護掃描
本公司定期對各項系統執行弱點掃描、滲透測試、源碼掃描等檢測作業,並針對每項測試結果進行風險評估。對於高風險項目,將立即啟動修復或補償性控制措施;對於中、低風險項目,則會訂定適當的改善措施及完成時程,並追蹤其改善情況。
依照「保險業電腦系統資訊安全評估作業原則」,每年定期辦理資訊安全評估作業,涵蓋系統的各項資訊架構、網路活動、安全檢測、資安政策遵循等方面,確保系統在防範各類攻擊的能力與符合相關安全標準,並能持續提升系統的穩定性與可靠性,降低潛在的資安風險,保障公司及客戶的資料安全。
資安盤點與演練
本公司定期進行權限、帳號、設備等資產的盤點作業,確保每項資產的安全性與合法性,避免未經授權的存取或資源浪費,保障資訊系統的安全與穩定運行。
現行已建立全面的持續營運演練計畫,定期依計畫執行相關測試,確保在面對攻擊或突發狀況時,資訊機房內的系統能夠迅速恢復運作,將業務中斷的風險降到最低,檢視各項應急計畫的有效性,並根據演練結果進行改進,強化系統的應變能力與穩定性。
此外,為了保障業務連續性,本公司於2024年11月16日進行「臺灣產物保險資訊管理系統異地備援演練實施計劃 」目的為確保本公司資訊管理系統遭受網路攻擊、勒索病毒、檔案系統異常及可能導致系統中斷等災變情境發生時,於公司外部地點遠端啟用異地備援端之備用系統,使其系統持續運作,確保企業營運作業正常。
