資訊安全
資訊安全政策
我們制定資訊安全政策並建置資訊安全管理系統,以確保資訊資產的機密性、完整性、可用性及資訊作業與服務的合規性為目標,推展資訊安全風險管理。為因應保險業務的拓展與多元性,將資訊安全內部控制作業與相關規範拓展至全公司適用,使各業務單位除了扮演使用者的角色外,也能妥善擔任權責單位與維運單位的角色,進而提升公司整體的資訊安全管理。
依據國際資安管理框架導入管理制度,確保資訊安全堅實穩定,持續維持ISO 27001資訊安全管理系統驗證之有效性,精實對客戶權益之保護。
依據國際資安管理框架導入管理制度,確保資訊安全堅實穩定,持續維持ISO 27001資訊安全管理系統驗證之有效性,精實對客戶權益之保護。
資訊安全對策與作為
參與資訊安全聯防
我們積極參與金融機構聯防,2017年即申請加入由金管會推動的金融資安資訊分享與分析中心F-ISAC成為首批正式會員,並持續分享我們的資安設備去識別化後偵測與阻擋情資予F-ISAC進行整合分析,使我們能夠做到事前防患未然、事中防微杜漸與事後降低傷害。
建立資安監控中心 (Security Operation Center, SOC)
我們已建立資安監控中心 (SOC),進行每日24小時 (7x24) 全天候即時監控、偵測與發現資安事件,以提升資安事件監控的能量。透過整合我們的資安監控平台與資訊安全日誌事件管理與分析系統,進行多維度關聯分析,並藉由資安分析人員進行研判與建議,以達到精準的資安事件即時通報與預警之效益。資安事件的即時通報將大幅提升後續追蹤與應變處理的有效性,落實資安事件妥善處理,降低危害程度。
紅藍隊對抗及DDoS演練
委請外部專家協同進行紅藍隊對抗演練以檢視防禦之有效性及強化事件應變能力。另因政府機關、重要民生服務網站屢屢遭受駭客組織發動分散式阻斷 (Distributed Denial of Service, DDoS)攻擊,導致部份機關網站停擺,為加強DDoS攻擊的防禦及應變能力,進行真實DDoS攻擊演練,確認網站或重要主機承受DDoS攻擊的耐受度,並確保DDoS攻擊防護方案之有效性。
取得資安標章 (Mobile Application Security, MAS)
為提升我們所提供客戶使用之行動應用的基本資訊安全防護能力,透過每年進行的電腦系統資訊安全評估作業,依據「行動應用App基本資安檢測基準」執行檢測作業並取得MAS標章,可有效強化開發行動應用App的資訊安全意識,並逐步完善行動App安全防護能力。
資訊安全教育訓練
我們的資安專責同仁每年接受15小時的資安專業訓練,各部門資安人員需參與至少6小時之資安宣導與作業課程,針對一般內部同仁,資訊安全部規劃每年度3小時之資安教育訓練、入職新人資安線上教育訓練,以及不定時對全公司進行電子郵件資安宣導,以持續提升我們整體人員的資安素養。我們的資安查核小組人員全部具有ISO 27001資訊安全管理系統主導稽核員資格,並持續協助與鼓勵同仁進行相關資安證照考取。
個人資料保護管理制度
依據BS 10012:2017個人資訊管理系統標準,導入個人資料管理制度 (PIMS),將個資保護管理深化為組織文化。完成歐盟個人資料保護規則 (General Data Protection Regulation, GDPR)之適用性評估機制之建置。
成立個人資料保護管理委員會,由總經理擔任召集人,定期召開會議報告個資保護整體運作情形。持續推動、管理、督導個人資料管理制度之有效運作。另設有「個資保護查核小組」,落實執行個人資料管理、管理程序與安全控管機制。