# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin：https://www.linkedin.com/in/alrex5401/ # 保險業核心資通系統作業委外資安注意事項-導覽 修正日期： 民國 112 年 09 月 07 日(異動差異，可見***斜線粗體***) ## 一、 本注意事項目的 為協助保險業於辦理核心資通系統作業委外過程，於各階段(包括「計畫作業」、「招標」、「決標」、「履約管理」、「驗收」及「保固作業」等)考量相關資訊安全需求，以適當管理供應鏈風險，提升相關系統作業委外安全，特訂定本注意事項。 > - 立法目標說明。 > - 請注意各階段(包括「計畫作業」、「招標」、「決標」、「履約管理」、「驗收」及「保固作業」的資訊安全需求。 ## 二、***本注意事項所稱核心資通系統，係指核心資訊系統與涉及核心業務持續運作之重要資訊系統。*** > - 核心資通系統：關鍵業務所需之必要系統，應包含「保險業辦理資訊安全防護自律規範」所列之[核心資訊系統]((https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=5))與涉及核心業務持續運作之重要資訊系統。請參考[保險業資訊作業韌性參考原則-第二點](https://law.lia-roc.org.tw/Law/Article?lsid=FL099286&lawno=2) > - 核心資訊系統，請參考[保險業辦理資訊安全防護自律規範-第五條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=5)，應包括但不限於核保出單、保全（批改）、理賠、保費（收費）系統。 ## 三、計畫作業階段 (一) 核心資通系統作業委外可行性分析： 1. 篩選適合委託辦理之業務項目，確定該項業務委外之資訊安全可行性。 2. 將資安列入成本估算項目，進行效益分析。 3. 評估資訊系統作業委外資安風險與對策。 > - 如果委外廠商不能滿足組織資訊安全要求，將不得委託。 > - 如果委外廠商需要額外成本，進行弱點掃描或是獨立第三方稽核之成本，應納入成本效益評估。 > - 評估該作業委外之風險，確認可否接受風險或是得以進行風險處置 (ATMA) > - 風險處置 (ATMA) > > - 避免(Avoid) : 放棄該作業委外 > > - 移轉(Transfer) : 第三方風險轉移，如，資安險。 風險可以轉移，但責任不行。 > > -緩解(Mitigate) : 處理不確定因素(降低發生可能性)，或處理影響，如，上線時，應無中以上弱點。 > > - 接受(Accept) : 考量成本效益分析，接受風險，僅留在風險登錄表。 (二) 核心資通系統作業委外開發案，專案成員中應有資安人員參與。 > - 專案成員必須要資安人員參與。 (三) 識別核心資訊系通作業委外資安需求： 1. 委外業務涉及敏感性或含資安疑慮時，應識別委外廠商之限制。 2. 宜邀請廠商提出資安對應措施方案。 > - 如涉及機敏性資料、個資或存在資安疑慮，應條件限制廠商。 > - 如，擁有ISMS認證的廠商，或有處理同業作業之有經驗廠商。 ## 四、 招標作業階段 (一) 招標文件之制定與發布包含以下項目： 1. 採購產品或服務之資安要求事項。 2. 明定資安要求事項之服務水準（如：系統可用率、安全管控機制、稽核作業、資安檢測與弱點修補之責任與義務等）。 3. 未符合資安要求事項或服務水準時，應訂定罰責標準，依損害程度向委外廠商進行求償或罰款。 > - RFP和合約內容要求： > - 資安條款、SLA和罰責條款 (二) 準備保密協議書。 > - 保密條款。 (三) 委外廠商遴選準則之定義與實作： 1. 委外廠商之資安能量，評估核心系統是否承接過多會員公司之專案及其因應措施。 2. 要求委外廠商允許經授權之第三方稽核，以確認所定義資安要求事項之遵循性。 3. 委外廠商對其提供產品或服務之資安管理機制。 > - 評估委外廠商的接案能力，是否有能力因應專案需求及評估因應措施。 > - 稽核權；允許經授權之第三方稽核。 > - 要求廠商負責其產品或服務之資安管理機制，如弱點修補要求或是事件通報。 (四) 評估委外位置與提供產品或服務之位置，對資安是否有不利影響，並納入評估項目。 > - 評估委外廠商或提供之產品或服務，是否能夠滿足SLA/RTO要求，或屬於境外、涉及高風險地區。 ## 五、 決標作業階段 與委外廠商簽訂合約或協議時，遵循相關安全管理措施，其內容包含： (一) 應訂定相關資訊安全管理責任，載明與委外廠商雙方之資安角色與責任，若有分包，需一併確認分包計畫可能產生之資安風險。 > - 確認雙方及分包之資安角色與責任。 > - 常見需請委外廠商配合或是擔負一定的資安責任。 (二) 資訊安全事件之通報流程及處理程序。 > - 明定資安事件之通報流程（或窗口）。 > - 建議包含公關要求事宜。 (三) 委外廠商履行合約或協議時所提供軟體(或交付標的物)為交付產品，需具備合法性且不得違反智慧財產權之規定或侵害第三人合法權益，確認軟體(含元件)之使用版權及安全性。 > - 確認版權問題。 (四) 委外廠商進行資訊系統開發或維運時，若涉及客戶、員工個人資料，需考量具個人資料安全防範措施。 > - 涉及個資議題，請務必要求個資法（或他國要求,ex. GDPR）相關要求 (五) 委外廠商提供之優規產品或服務，仍需確認可能產生之資安風險。 > - 提供RFP以外之優規產品或服務，仍要注意資安風險。 > - 如中資產品、或仍要求資安檢測。 ## 六、 履約管理階段 (一) 建立委外廠商管理規範，其內容應含委外廠商之人員管控，雙方皆應指定專案負責人，負責督導及辦理各項資安要求事項。 > - 應指定專案負責人，負責督導專案成員，並配合資安要求（如，資安教育訓練、保密協定簽訂、識別證/帳號權限或是資安常規要求） (二) 持續識別資訊系統作業委外風險，並採取適當管控措施。 > - 應進行變更管理或是應定期監控風險，常見是設定SLA監控 (三) 監督廠商於人員、實體環境及委外管理等資安要求事項是否落實執行，並建立適當檢驗機制，以確保管理機制有效落實。 > - 應定期或不定期進行相關抽查，如帳號權限盤點、設備攜出入管制及側錄監控調閱檢視。 (四) 委外廠商對相關作業人員進行資訊安全教育訓練，使其充分了解資安政策及責任。 > - 應要求專案參與之作業人員應定期（每年）進行資安教育訓練及新進人員資安宣導。 ## 七、 驗收作業階段 委外作業於驗收程序，注意事項如下： (一) 顧問訓練類：確認使用檢測工具的安全性和教育訓練時安裝軟體的安全性。 > - 顧問進場或是進行教育訓練時的設備，應使用我方之設備或是進行相關資安檢測後方能插入組織內網，常見在交付教育訓練教材時，應比照外部檔案傳輸之要求，進行相關掃毒或是資安檢測作業後，方能進入組織內部。 (二) 系統發展類： 1. 要求委外廠商揭露第三方程式元件之來源與授權。 > - 當委外廠商使用第三方程式元件時，應要求並注意來源與合法性，並應進行相關資安檢測（如，[SCA掃描工具](https://www.gartner.com/reviews/market/software-composition-analysis-sca)） 2. 要求委外廠商提供資訊系統之安全性檢測證明，如：源碼檢測、弱點掃描或滲透測試等。 > - 委外廠商提供資訊系統，應至少比照[保險業辦理資訊安全防護自律規範-第14條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=14)，新系統或系統功能首次上線前及至少每半年應針對異動程式進行程式碼掃描或黑箱測試；或是依循內部新系統上線流程辦理。 (三) 維運管理類：每半年執行系統弱點掃描。 > - 每半年執行系統弱點掃描；比照[保險業辦理資訊安全防護自律規範-第14條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=14)，應至少每半年進行一次作業系統之弱點掃描。 (四) 雲端服務類：確認雲端服務供應商宣稱之資安認證範圍（含功能）。 > - 應確認雲端服務供應商之認證範圍；確認資安認證的範疇是否涵蓋在委外範疇。 委外關係終止或結束時，應依本自律規範第十六條第一項之規定辦理。 > - [保險業辦理資訊安全防護自律規範-第16條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=16)；資訊系統作業委外終止或結束時，委外廠商應提供移轉服務，將留存資料移回至各會員公司自行處理，並應刪除或銷毀全數資料，且提供刪除或銷毀之佐證資訊與紀錄。 ## 八、 保固作業階段 (一) 保固服務：系統異常造成運作中斷或部分無法正常運作時，如可歸責於廠商時，廠商應依契約規定，履行保固服務或進行異常管理。 > - 合約應包含系統異常造成運作中斷或部分無法正常運作時，如可歸責於廠商時，廠商應依契約規定，履行保固服務或進行異常管理。 (二) 異常管理：系統若有重大資安問題，應有變更計畫，評估潛在資安衝擊及提供變更及復原程序。 > - 應有專案管理進行變更管理作業，進行評估潛在資安風險分析 > - 應有變更程序及系統復原程序。 ## 九、 其他應注意事項 (一) 於籌獲套裝軟體時，應確認可能產生之資安風險。 > - 如採購套裝軟體時，仍應進行資安相關檢測或要求。如要求應原廠包裝直送（無經手廠商拆裝或客制安裝），仍應有掃毒等資安檢測。 (二) 核心資通系統作業委外服務案中，委外廠商有須結合第三方服務提供者(Third-party Service Provider,TSP)方能提供完整服務之情形，應將TSP可能產生之資安風險納入評估。 > - 委外廠商如有分包之情形，仍應經同意或知悉，並有相對應的資安要求。