資訊安全
 

資訊安全政策

我們制定資訊安全政策,建置資訊安全管理系統,確保資訊資產的機密性、完整性、可用性及資訊作業與服務的合規性。因應保險業務的拓展與多元性,將資訊安全內部控制作業與相關規範拓展至全公司各單位,使各單位除了扮演使用者的角色外,也能妥善擔任權責單位與維運單位的角色,進而提升公司整體的資訊安全管理。
資訊安全對策與作為
為持續完善資訊安全相關管控作業,提升整體資安成熟度,凱基人壽逐年提高資安預算比重,持續招募具有經驗之內外部人員。資安部門專責人員13 位,全公司各單位配置資安人員窗口49位。編列之資安預算比重逐年成長,2024 年資安預算占全部資訊預算之費用佔比超過13%,展現本公司對於資訊安全之重視。
參與資訊安全聯防
我們是金管會推動的金融資安資訊分享與分析中心F-ISAC首批正式會員,持續分享凱基人壽資安設備去識別化後偵測與阻擋情資,供F-ISAC 進行整合分析。亦同步提供資安相關情資給法務部調查局,拓展金融聯防綜效。F-ISAC 資通安全情資分享特優,受金管會來函表揚本公司於情資分享表現優異。
本公司重視凱基金控集團內部情資交流,建立即時的資安情資分享管道,每月就資安風險管控、技術發展、治理等面向,與凱基金控及旗下銀行、證券、投信等子公司,互相交流,並主動分享凱基人壽整體資安執行情形,強化集團內部跨公司間之橫向聯防量能。
建立資安監控中心 (Security Operation Center, SOC)
我們已建立資安監控中心 (SOC),進行每日24小時 (7x24) 全天候即時監控、偵測與發現資安事件,以提升資安事件監控的能量。透過整合資安監控平台與資訊安全日誌事件管理與分析系統,進行多維度關聯分析,以達到精準的資安事件即時通報與預警之效益。
加入金融資安聯防(F-SOC),結合情資分享平台及強化聯防監控體系,增加事中監控面向,積極參與F-ISAC 情資分享。導入專業第三方廠商,針對本公司曝露於網際網路之數位資產和系統進行全天候監控,提升本公司資安監控強度。
系統備援及事件應變演練
定期辦理核心資訊系統災難備援演練、電腦系統資訊安全評估、對外網站滲透測試及全公司社交工程演練,以確保公司資訊設施的安全並保護機敏資料與顧客個人資料。
預防遭受駭客組織之分散式阻斷(DDoS,DistributedDenial of Service)攻擊,避免網站停擺,加強DDoS 攻擊的防禦及應變能力。參與由F-ISAC 舉辦真實DDoS 攻擊演練,從多面向的攻擊模擬(HTTP、頻寬消耗、資源消耗),確認公司內外提供服務之網站或重要主機承受DDoS 攻擊的耐受度,並確認DDoS 攻擊防護方案之有效性。
供應商資安管理與績效
為確保合作之第三方資安水準與本公司一致,對於與本公司有業務往來之廠商及其員工,凱基人壽除對其進行資安審查,並要求遵循本公司相關資安規範外,亦訂有資訊系統作業委外管理要點,據以規範計畫、招標、
合約、履約、驗收、保固、查核等階段,以保障本公司及客戶之權益。
針對合作廠商, 定期進行服務評鑑,引入攻擊表面管理(Attack SurfaceManagement,ASM)服務,藉由專業第三方機制,檢視廠商本身對外系統之資訊安全成熟度,將其列入考評項目,以促使供應商更加重視資訊安全。亦定期針對廠商,進行督導與審核,其中包含資訊安全審查事項,用以確認廠商之整體服務能力與水準,並列為後續選商之依據。
資訊安全教育訓練
凱基人壽資安專責同仁,每年接受至少15 個小時的資安專業訓練,各部門資安協力人員,則需參與至少6小時之資安宣導與作業課程。針對一般內部同仁,資訊安全部規劃每年度3 小時之資安教育訓練、入職新人資安線上教育訓練,以及不定時對全公司進行電子郵件資安宣導,以持續提升本公司整體人員的資安素養,同仁完訓比率為100%。
偕同凱基金控資安處,共同舉辦資安月活動,為國內首家推動資安月之金融集團,並安排外部資安公司進行資訊安全相關課程,提供給全體員工參與,透過互動式專題討論,力促全體同仁在活動與講座中了解資安對推動業務的助力。
零信任架構導入
本公司規劃運用高風險場域為核心之風險與衝擊評估方法論,並盤點公司資源存取路徑(身分、設備、網路、應用程式、資料),制定其導入架構規劃藍圖,由外而內縮小攻擊表面並增進防禦深度,由內而外擴大防護表面,以期逐步符合主管機關對零信任架構各支柱之成熟度要求,強化本公司資訊安全治理機制,確保可提供顧客創新、安心、便利與穩定的金融保險服務環境。凱基人壽已於2024年度研究訂定零信任網路導入規劃,並提報董事會通過,以確保該機制順利運作。
個人資料保護管理制度
凱基人壽導入 BS 10012:2017 個人資訊管理系統,驗證範圍擴及所有單位,完成歐盟個人資料保護規則(General Data Protection Regulation,GDPR)適用性評估,並持續接受外部驗證。透過制度化管理,公司將個資保護融入組織文化,確保管理機制持續優化。
成立個人資料保護管理委員會,由總經理擔任召集人,定期檢視整體運作,涵蓋個資保護之執行、技術發展、管理制度監督與審查、個資事故管理等議題。另設有個資保護查核小組,負責內部查核作業。建立個資事故應變與通報程序,設置緊急處理小組,每年參考外部實際案例規劃演練情境,透過模擬演練提升公司之應變防護能力。