資訊安全
資訊安全政策
我們制定資訊安全政策並建置資訊安全管理系統,以確保資訊資產的機密性、完整性、可用性及資訊作業與服務的合規性為目標,推展資訊安全風險管理。為因應保險業務的拓展與多元性,將資訊安全內部控制作業與相關規範拓展至全公司適用,使各業務單位除了扮演使用者的角色外,也能妥善擔任權責單位與維運單位的角色,進而提升公司整體的資訊安全管理。
依據國際資安管理框架導入管理制度,確保資訊安全堅實穩定,持續維持ISO 27001資訊安全管理系統驗證之有效性,精實對客戶權益之保護。
依據國際資安管理框架導入管理制度,確保資訊安全堅實穩定,持續維持ISO 27001資訊安全管理系統驗證之有效性,精實對客戶權益之保護。
資訊安全對策與作為
參與資訊安全聯防
我們積極參與金融機構聯防,2017年即申請加入由金管會推動的金融資安資訊分享與分析中心F-ISAC成為首批正式會員,並持續分享我們的資安設備去識別化後偵測與阻擋情資予F-ISAC進行整合分析,使我們能夠做到事前防患未然、事中防微杜漸與事後降低傷害。
建立資安監控中心 (Security Operation Center, SOC)
我們已建立資安監控中心 (SOC),進行每日24小時 (7x24) 全天候即時監控、偵測與發現資安事件,以提升資安事件監控的能量。透過整合我們的資安監控平台與資訊安全日誌事件管理與分析系統,進行多維度關聯分析,並藉由資安分析人員進行研判與建議,以達到精準的資安事件即時通報與預警之效益。資安事件的即時通報將大幅提升後續追蹤與應變處理的有效性,落實資安事件妥善處理,降低危害程度。
系統備援及事件應變演練
定期辦理核心資訊系統災難備援演練、電腦系統資訊安全評估、對外網站滲透測試及全公司社交工程演練,以確保公司資訊設施的安全並保護機敏資料與顧客個人資料。另因政府機關、重要民生服務網站屢屢遭受駭客組織發動分散式阻斷 (Distributed Denial of Service, DDoS)攻擊,導致部份機關網站停擺,為加強DDoS攻擊的防禦及應變能力,進行真實DDoS攻擊演練,確認網站或重要主機承受DDoS攻擊的耐受度,並確保DDoS攻擊防護方案之有效性。
供應商資安管理與績效
為確保合作之第三方資安水準與本公司一致,對於與本公司有業務往來之廠商及其員工,除對其進行資安審查,並要求遵循本公司相關資安規範,本公司並訂有資訊系統作業委外管理辦法,從計畫、招標、合約、履約、驗收、保固、查核等階段均有規範,以保障本公司及客戶之權益。
引入攻擊表面管理服務機制,檢視廠商本身對外系統之資訊安全成熟度,將其列入考評項目,以促使供應商更加重視資訊安全;每年度亦定期針對受委託廠商,進行督導與審核,其中包含資訊安全審查事項,用以確認受委託廠商之整體服務能力與水準,並列為後續選商之依據。
引入攻擊表面管理服務機制,檢視廠商本身對外系統之資訊安全成熟度,將其列入考評項目,以促使供應商更加重視資訊安全;每年度亦定期針對受委託廠商,進行督導與審核,其中包含資訊安全審查事項,用以確認受委託廠商之整體服務能力與水準,並列為後續選商之依據。
資訊安全教育訓練
我們的資安專責同仁每年接受15小時的資安專業訓練,各部門資安人員需參與至少6小時之資安宣導與作業課程,針對一般內部同仁,資訊安全部規劃每年度3小時之資安教育訓練、入職新人資安線上教育訓練,以及不定時對全公司進行電子郵件資安宣導,以持續提升我們整體人員的資安素養。
依據行政院公告之資通安全證照清單,資安專責單位同仁包含資安長在內,平均持有2張符合該清單之證照,本公司持續鼓勵同仁進行專業訓練及證照考取,以期打造最專業之資安團隊。
依據行政院公告之資通安全證照清單,資安專責單位同仁包含資安長在內,平均持有2張符合該清單之證照,本公司持續鼓勵同仁進行專業訓練及證照考取,以期打造最專業之資安團隊。
個人資料保護管理制度
依據BS 10012:2017個人資訊管理系統標準,導入個人資料管理制度 (PIMS),將個資保護管理深化為組織文化。完成歐盟個人資料保護規則 (General Data Protection Regulation, GDPR)之適用性評估機制之建置。通過BS 10012 驗證之複審作業,可見本公司個資管理系統運作展現高度持續改善的精神。
成立個人資料保護管理委員會,由總經理擔任召集人,定期召開會議報告個資保護整體運作情形。持續推動、管理、督導個人資料管理制度之有效運作。另設有「個資保護查核小組」,落實執行個人資料管理、管理程序與安全控管機制。