永續治理
資訊安全管理
本公司持續精進資訊安全制度與強化防護能力,規劃與執行本公司資訊安全作業。隨著公司建立龐大的數位化資訊平台與掌握大量的數位資訊與個人資料量,公司所有作業流程除了符合臺灣法令法規之嚴格規範外,更採取嚴謹的保密措施與管理制度,導入ISO 27001資訊安全管理系統驗證,近年來皆無重大機敏性資料外洩或主要驗證缺失發生,持續強化資訊安全並落實在日常業務的執行中。
資訊安全專責單位
本公司設立資訊安全專責單位,編制1名主管與1名專員(皆取得ISO 27001 LA輔導稽核員證照),其負責範圍包含ISO 27001資訊安全系統維運作業與執行保險業辦理資訊安全防護自律規範所訂之各項作業。每年依據ISO27001定期召開年度資安會議,其內容依據ISO 27001規範所認定之項目,如各項審查議案、資安內外部議題、資安績效回饋與趨勢、利害關注方與各項風險評鑑與討論事項。
客戶個人資料及資訊安全保護之責
本公司於2022 年取得「BS10012:2017個人資訊管理系統」認證,每年委由第三方機構進行認證覆查以確保證書有效性。2023年2月已通過年度覆審作業。
每年定期執行個資外洩演練,實際演練通報流程及相關處理措施並宣導當事人權利行使之作業流程與因應方式;個資管理小組亦每年召開個資管審會議,檢視相關工作作業執行狀況,並針對內、外部議題討論。提供數位線上課程讓同仁知悉個資保護之責任範圍、機制、程序及措施,善盡客戶個人資料保護之責,顯示本公司高度重視客戶個資安全。
嚴謹落實管理,與持續驗證通過ISO 27001認證
本公司導入資訊安全管理制度,並持續通過ISO 27001資訊安全管理系統外部驗證,透過風險鑑別,減少組織流程之的資安弱點,並配合管理系統重視之事前預防及應變準備,從資安治理、資安防禦、監控與回應、情報蒐集、個資保護等策略全方位進行流程控管,確保資訊安全,提供客戶最安心的保障,同時展現本公司迎接保險科技時代,提升資訊安全的績效與決心。
深化資訊安全意識文化
持續定期舉辦相關教育訓練與宣導,提升同仁對於個人資料保護管理之意識與應變能力,宣導最新相關法令法規資訊,落實個人資料保護意識實踐於同仁之日常作業中。
定期社交工程演練
隨著惡意郵件與釣魚郵件威脅日益嚴峻,輕則洩露個人帳號密碼、電腦中毒,重則導致公司蒙受詐騙損失大量金錢,或是遭受攻擊導致機密資料外洩。公司除借助郵件安全防護產品過濾與偵測外,更積極提升使用者資安意識,強化最後一道防線。本公司於2023年度,內部執行四次社交工程模擬演練,透過內部演練,提高同仁對於釣魚信等資安風險的警覺性。