保險業電腦系統資訊安全評估作業原則導覽

# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin：https://www.linkedin.com/in/alrex5401/ # 保險業電腦系統資訊安全評估作業原則-導覽修正日期：民國 112 年 09 月 07 日(異動差異，可見***斜線粗體***) # 壹、前言為確保保險業提供電腦系統具有一致性基本系統安全防護能力，擬透過各項資訊安全評估作業，發現資安威脅與弱點，藉以實施技術面與管理面相關控制措施，以改善並提升網路與資訊系統安全防護能力，訂定本辦法。 > - 記得回頭檢視[保險業辦理資訊安全防護自律規範本文](https://hackmd.io/@alrex5401/Evaluation-Plan-of-Information-Security-of-Computer-Systems)-[第6條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=6) > - 公司若有建置管理系統及有關個資之資安資料，應建立資安防禦機制，並依據保險業辦理電腦系統資訊安全評估作業原則（如附件一）辦理各項資訊安全評估作業，以改善並提升網路與資訊系統安全防護能力。 > - 原則上在組織內所有的資訊系統，應都涵蓋在範疇內，並依定義分類第一、二、三類系統；原則上不該有未分類的系統。 # 貳、評估範圍一、保險業應就整體電腦系統（含自建與委外維運）依據本作業原則建構一套評估計畫，基於持續營運及保障客戶權益，依資訊資產之重要性及影響程度進行分類，定期或分階段辦理資訊安全評估作業，並提交「電腦系統資訊安全評估報告」，辦理矯正預防措施，並定期追蹤檢討。 > - 每年應產出「電腦系統資訊安全評估報告」二、評估計畫應報董（理）事會或經其授權之經理部門核定，但外國保險業在台分公司，得授權由在中華民國負責人為之。評估計畫至少每三年重新審視一次。 > - 每三年應產出「電腦系統資訊安全評估計畫」，並經董（理）事會或經其授權之經理部門核定；常見第一次送核董事會時，會一併呈請董事會授權總經理核定。 > - 「電腦系統資訊安全評估計畫」，常見是引用「保險業電腦系統資訊安全評估作業原則」作為計畫內容，故每次更新「保險業電腦系統資訊安全評估作業原則」都需要重新調整與簽核。 # 參、電腦系統分類及評估週期一、電腦系統依其重要性分為三類： | 電腦系統類別 | 定義 | 評估週期 | | -------- | -------- | -------- | | 第一類 | ***可由外部Internet直接連線之網際網路應用系統***及核心資訊系統 | 每年至少辦理一次資訊安全評估作業 | | 第二類 | 存放大量客戶資料之系統（如檔案伺服器、資料倉儲、客服及行銷等系統） | 每三年至少辦理一次資訊安全評估作業 | | 第三類 | 非核心資訊系統（如人資、總務等系統） | 每五年至少辦理一次資訊安全評估作業 | > - 可在Kick-off會議或第一次會議上，進行本次專案之評估範圍審查與確認(RFP階段，記得溝通或敘明)。 > - 也可以內部先行確認(嚴謹來看，可經過高層簽核)後提供給專案團隊。 > 常見問題 > - Q1，系統(設備)不在組織內之系統，是否應納入第一、二、三類系統? > A1，答案是，不需要，但建議仍依資訊安全評估作業原則要求廠商進行相關檢測作業；這部分偏供應商管理範疇。 > - Q2，組織申請之雲端服務(系統)，是否應納入第一、二、三類系統? > A2，答案是，建議納入，並依[附件三、保險業運用新興科技作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330934)要求廠商滿足相關條款；並檢視相關服務，是否涉及[保險業作業委託他人處理應注意事項](https://law.lia-roc.org.tw/Law/Content?lsid=FL055291)。 > - Q3，派版系統、AD系統等管理類系統是否應納入第一、二、三類系統? > A3，答案是，至少應列在第三類系統；但是依據風險與重要性，建議列在第一類系統或比照辦理。過往專案金檢經驗，曾被問，如果相關系統毀損或異常，是否會影響該第一類系統，如果會，請列入第一類系統。就參考看看。二、單一系統而為數眾多且財產權歸屬於公司之設備得以抽測方式辦理，抽測比例每次至少應占該系統全部設備之 10%或 100 台以上。 > - 常見是以PC或ATM，會使用該抽樣要求(全部設備之 10%或 100 台以上)。 > - 其餘系統皆是全檢為主。三、單一系統發生重大資訊安全事件，應於三個月內重新完成資訊安全評估作業。 > - 常見發生定義是重大偶發之資安事件。 > - 實務上，發生事件時，應該是找外部IR專家團隊，進行數位鑑識；後續才會請當年度評估廠商進行相關評估作業、相關的弱點檢測與修補作業。 # 肆、資訊安全評估作業一、資訊安全評估作業項目： ## (一) 資訊架構檢視 1. 檢視網路架構之配置、資訊設備安全管理規則之妥適性等，以評估可能之風險，採取必要因應措施。 2. 檢視單點故障最大衝擊與風險承擔能力。 3. 檢視對於持續營運所採取相關措施之妥適性。 4. 適時參考金融資安資訊分享與分析中心（F-ISAC）所發布之資安威脅情資及資安防護建議，並採取相關措施。 5. 檢視伺服器應依電腦系統分類或系統功能或服務特性進行網段區隔。 6. 檢視邊界防護設備（包含閘道器、路由器、防火牆、防護裝置等設備）與外部網路連接之網點，是否設立防火牆控管內外部網路資料傳輸及資源存取，並限制非必要之連線對象與服務。 > - 檢視網路架構圖 (對外網路架構、內部骨幹及主要網段區隔)：主要確認組織整體網路架構、相關系統備援機制，及是否有單點失效的問題；檢視內部網路區隔設計。 > - 檢視 ISMS 政策、規範及程序書 (含SOA) > - 檢視近期演練紀錄 (DoS、持續演練計畫) > - 檢視F-ISAC情資的處理程序。 ## (二) 網路活動檢視 1. 檢視網路設備、伺服器及物聯網設備之存取紀錄及帳號權限，識別異常紀錄與確認警示機制。 2. 檢視資安設備（如：防火牆、入侵偵測或防禦、惡意軟體防護、資料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等）之監控紀錄，識別異常紀錄與確認警示機制。 3. 檢視網路是否存在異常連線或異常網域名稱解析伺服器（Domain Name System Server ,DNS Server）查詢或監控進出之通訊流量，並比對是否為已知惡意IP、中繼站或有符合網路惡意行為的特徵。 4. ***檢視是否訂定偵測偽冒網站之處理措施***。 > - 檢視IPS, WAF, Proxy, 員工上網管控等安控設備事件觸發紀錄。 > - 檢視SIEM, Log Server ，包含收容設備清單、異常警示規則及通報處理軌跡紀錄。 > - 檢視是否訂定偵測偽冒網站之處理措施。 ## (三) 網路設備、伺服器、終端設備及物聯網設備等設備檢測 1. 辦理網路設備、伺服器、終端設備及物聯網設備等設備的弱點掃描與修補作業。 2. 檢測終端機及伺服器是否存在惡意程式。 3. 檢測系統帳號登入密碼複雜度；檢視外部連接密碼（如檔案傳輸（File Transfer Protocol, FTP）連線、資料庫連線等）之儲存保護機制與存取控制。 4. 辦理物聯網設備檢測作業時，依據「保險業使用物聯網設備作業準則」第四、五、六、七條之安全控管規範進行評估。 > - 檢視主機弱點掃描範圍及修補情形；這邊須注意[保險業辦理資訊安全防護自律規範-本文第14條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=14)提到，針對網際網路應用系統（如網路投保、網路要保等直接提供客戶自動化服務之系統）及核心資訊系統，應至少**每季進行一次**作業系統之弱點掃描。 > - 檢視組織現有惡意程式檢測軌跡紀錄，或委由顧問進場安裝檢測。 ## (四) 可由外部Internet直接連線之網路設備、伺服器及物聯網等設備，應辦理下列事項： 1. 進行滲透測試。 2. 進行伺服器應用系統之程式原始碼掃描或黑箱測試。 3. 檢視伺服器目錄及網頁之存取權限建立對外網站網頁防竄改機制。 4. 檢視系統是否有異常的授權連線、CPU資源異常耗用及異常之資料庫存取行為等情況。 > - 針對可由外部Internet直接連線之系統、對外Public IP，應進行滲透測試，並納入檢測報告。 > - 針對可由外部Internet直接連線之系統，進行程式原始碼掃描或黑箱測試；這邊須注意[保險業辦理資訊安全防護自律規範-本文第14條](https://law.lia-roc.org.tw/Law/Article?lsid=FL072726&lawno=14)提到，針對網際網路應用系統（如網路投保、網路要保等直接提供客戶自動化服務之系統）及核心資訊系統，新系統或系統功能首次上線前及至少每半年應針對異動程式進行程式碼掃描或黑箱測試。 > - 確認組織現行網頁防竄改機制。 > - 檢視系統資源監控情形。 ## (五) 客戶端應用程式檢測保險業與客戶端之應用程式應採加密連線，並針對保險業交付給客戶之應用程式進行下列檢測： 1. 提供https、SFTP者應進行弱點掃描。 2. 程式原始碼掃描或滲透測試。 3. 敏感性資料保護檢測（如記憶體、儲存媒體）。 4. 金鑰保護檢測。 5. 採最小權限原則，僅允許使用者依任務及業務功能所需完成指派之授權存取控管。 > - 檢視公司內行動裝置應用程式服務，是否依[附件二、保險業提供行動應用程式（App）作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330932)進行相關檢測作業。 > 常見問題 > - Q1，是否要取得[行動應用App基本資安標章](https://www.mas.org.tw/app/passed)? > A1，並無強制要求取資安標章，僅要求依據委託專業機構和依據對應項目進行檢測；資安標章，僅供組織考量是否應用相關曝光或是媒體公關、行銷需求。 ## (六) 安全設定檢視 1. 檢視伺服器（如網域服務Active Directory）有關「密碼設定原則」與「帳號鎖定原則」設定。 2. 檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，連線設定是否有安全性弱點。 3. 檢視系統存取限制（如存取控制清單Access Control List）及特權帳號管理。 4. 檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。 5. 檢視金鑰之儲存保護機制與存取控制等安全措施。 6. 檢視從外部網路連回內部時需確認使用者身分。 > - 檢視內部文件與AD Policy和非網域管理系統之「密碼設定原則」與「帳號鎖定原則」設定是否一致。 > - 檢視防火牆審查紀錄、防火牆開通申請程序，必要時，抽樣檢視。 > - 檢視伺服器帳號及權限定期覆核記錄密碼、金鑰管理作業標準或管理程序、系統帳號及權限審查紀錄 > - 檢視系統、防毒、程式更新狀態記錄 (如，WSUS、防毒更新報表) ## (七) 資訊系統可靠性與安全性侵害之對策 1. 會員公司應就提升資訊系統可靠性研擬相關對策，其內容包括： (1) 提升硬體設備之可靠性：包含預防硬體設備故障與備用硬體設備設置之對策。 (2) 提升軟體系統之可靠性：包含提升軟體開發品質與提升軟體維護品質對策。 (3) 提升營運可靠性之對策。 (4) 故障之早期發現與早期復原對策。 (5) 災變對策。 (6) 備份之系統備份媒體，須擬定驗證計畫，並驗證備份媒體之可靠性及資訊之完整性。 2. 會員公司應就資訊安全性侵害，研擬相關對策，其內容包括： (1) 資料保護：包含防止洩漏、防止破壞篡改與相對應檢測之對策。 (2) 防止非法使用：包含存取權限確認、應用範圍限制、防止非法偽造、限制外部網路存取及偵測與因應之對策。 (3) 防止非法程式：包含防禦、偵測與復原對策。 3. 檢視電腦系統是否符合「保險業辦理資訊安全防護自律規範」、「保險業經營電子商務自律規範」、「保險業辦理電子保單簽發作業自律規範」、「保險業經營行動服務自律規範」及主管機關相關函文之要求。 4. 如有使用SWIFT系統者，需檢視電腦系統之SWIFT系統是否符合 SWIFT公布之Customer Security Programme規範及公會相關函文之要求，若與本作業原則衝突，依SWIFT公布為主。 > - 檢視本年度主管機關來函、資訊安全相關之函文。 > - 常見經訪談檢視相關系統是否符合「保險業辦理資訊安全防護自律規範」、「保險業經營電子商務自律規範」、「保險業辦理電子保單簽發作業自律規範」、「保險業經營行動服務自律規範」及主管機關相關函文之要求 > - [詳細合規問項](#合規問項) 二、第一類、第二類及第三類電腦系統應依前項評估項目全部納入資訊安全評估作業以確保評估作業之有效性。 > - 不管哪一類，都應納入上述1-7項之評估項目。 # 伍、 ***強化系統運作可用性之資安措施*** 辦理電子商務業務者，***應強化系統運作可用性之資安措施***【如導入分散式阻斷服務攻擊（DDoS）流量清洗、***線路流量監控與備援***及訂定DDoS防禦與應變作業程序等】，並定期辦理DDoS實際演練。 > - 應擬定強化系統運作可用性之資安措施，常見是導入分散式阻斷服務攻擊（DDoS）流量清洗與線路流量備援監控機制；其他如雙活機房或雲端機房考量等供參考。 > - 應訂定「分散式阻斷服務攻擊（DDoS）防禦與應變作業程序」 > - 每年應定期辦理DDoS實際演練，範圍至少應納入電子商務對外網站。 # 陸、社交工程演練每年應至少一次針對使用電腦系統人員，於安全監控範圍內，寄發演練郵件，加強資通安全教育，以期防範惡意程式透過社交方式入侵。 > - 每年應定期辦理社交工程演練 > - 以過往金檢經驗，應至少進行部門統計，做進行脆弱點評估或風險分析，將結果呈核至一定層級；並針對誤觸人員進行相關再訓練或是相關防範措施(有部分金融機構與KPI掛勾)。 # 柒、評估單位資格與責任一、評估單位可委由外部專業機構或由會員公司內部單位進行。如為外部專業機構，該機構應與資安評估標的無利害關係，若為內部單位，應獨立於原電腦系統開發與維護等相關單位。二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資格條件；辦理第二類及第三類電腦系統資訊安全評估作業者，依評估作業項目需要，具備下列相關資格條件之一： (一) 具備資訊安全管理知識，如持有國際資訊安全經理人（Certified Information Security Manager,CISM）證書或通過國際資安管理系統主導稽核員（Information Security Management System Lead Auditor,ISO 27001 LA）考試合格等。 (二) 具備資訊安全技術能力，如國際資訊安全系統專家（Certified InformationSystems Security Professional,CISSP）證書等。 (三) 具備模擬駭客攻擊能力，如滲透專家（Certified Ethical Hacking, CEH）證書或事件處理專家（Certified Incident Handler,CIH）證書等。 (四) 熟悉金融領域載具應用、系統開發或稽核經驗。三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料等與本案相關之全部資料，評估單位應簽立保密切結書並提供適當保護措施，以防止資料外洩。四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情事。 > - 常見是委由外部專業機構進行評估，惟注意相關執行人員是否擁有上述證照及保持有效性，並記得要簽訂人員保密切結書。 > - 如有部分金融是自行進行檢測或提供報告，由外部專業機構進行檢視者，要注意執行單位是否具有獨立性；且執行同仁是否也擁有上述證照及有效性。 # 捌、評估報告一、「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果。二、會員公司應依據評估報告內容缺失程度區分風險等級，並擬定各風險對應之控管措施及處理時限，送稽核單位進行缺失改善事項之追蹤覆查。三、評估報告缺失覆查應提報董（理）事會或經其授權之經理部門，但外國保險業在台分公司，得由總公司授權之人員為之，以落實由高階管理階層督導缺失改善。四、評估報告應併同缺失改善等相關文件至少保存五年。 > - 針對「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果。請承辦同仁務必詳細檢視是否有誤植部門或是單位名稱，或是描述之正確性。 > - 「電腦系統資訊安全評估報告」送稽核單位，這是很重要的動作，請務必留下軌跡(不管是郵件或是正式簽呈)。 > - 評估報告缺失覆查應提報董（理）事會或經其授權之經理部門...等，這部分並未明確指明呈報董事會是稽核單位或是資安單位，請務必良性溝通與確認相應流程，以免漏報。 > - 評估報告應併同缺失改善等相關文件至少保存五年；常見金檢至少調閱三年內之資料，除非第三類系統有資安疑慮，才會更進一步調閱五年前的含第三類系統之評估報告。 # 詳細合規問項 | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 硬體設備之可靠性 | 簡述伺服器備援機制(同地、異地、AS/AA等) | 同、異地災害復原演練文件(計畫、演練紀錄) | | 硬體設備之可靠性 |簡述重要程式與資料檔案、系統(OS、AP)log等備份機制 | 系統之資料備份文件(計畫、備份紀錄) | | 硬體設備之可靠性 | 簡述重要程式與資料檔案、系統(OS、AP)log等備份機制是否額外採用週邊設備（磁碟設備、光碟設備、磁帶設備等）、控制臺顯示器等設備 備註：如備份機制與主機伺服器備援機制一併進行，可參照【上述問項】 | 媒體備存及盤點紀錄 | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 軟體系統之可靠性 | 簡述系統正式開發之作業程序，如確認需求、開發作業、上線前檢核、版控機制(開發中) | 開發生命週期表單(最近一年新專案開發或程式變更申請紀錄、訪談確認書、黑白箱掃描紀錄、測試紀錄….等) | | 軟體系統之可靠性 | 有沒有執行黑/白箱掃描? 使用的工具? | 開發生命週期表單(最近一年新專案開發或程式變更申請紀錄、訪談確認書、黑白箱掃描紀錄、測試紀錄….等) | | 軟體系統之可靠性 | 承上題，是否將OWASP等常見的網站應用程式弱點納入軟體開發安全之參考、執行程式檢核(codereivew) | | 軟體系統之可靠性 | 是否定期執行弱點掃描 | 弱點掃描紀錄 | | 軟體系統之可靠性 | 是否有程式派送，簡述派送機制 | | | 軟體系統之可靠性 | 是否委外開發、共同開發、或外購軟體 | 1. 未取得原始碼之風險評估及因應措施 2. 外購軟體維護合約 3. 軟體採購規格書 | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 營運可靠性之對策 | 簡述各系統主機(伺服器)之監控機制(CPU、RAM、DISK…等)與警示機制 | 1. 抽核各類型主機監控報表一份 2. 抽核各類型主機監控異常處理紀錄 | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 故障之早期發現與早期復原對 | 簡述為追蹤系統故障發生資訊，各主機維運作業紀錄項目及管控方式，如eventlog、系統主控制台訊息、系統運轉狀況的詳細資訊。 | 系統日誌管理程序 | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 資料保護 | 簡述密碼原則 | 1. 抽看各系統密碼原則設定畫面，並截圖。 2. 抽看AD密碼設定畫面，並截圖 | | 資料保護 | 是否儲存機敏資料 | | | 資料保護 | 承上題，機敏資料保存有無亂碼化處理技術 | | | 資料保護 | 承上題，個資檔案之儲存、傳遞與存取控管機制 | | | 資料保護 | 簡述系統資料傳輸機制，如透過https或資料經亂碼化，防竄改機制 | | | 資料保護 | 簡述內網資料傳輸管理機制 | | | 資料保護 | 權限(內部使用者)盤點機制 | 使用者帳號其權限清查紀錄(一般、特殊、最高權限)| | 資料保護 | 是否有TimeOut機制 | | | 資料保護 | 簡述伺服器最高權限（特權）帳號管理方式 | | | 資料保護 | 是否有開放式輸入欄位(如: 查詢輸入欄) | | | 資料保護 | 承上題，是否有字元檢核機制? (如: 不可輸入特殊字元或不當字元) | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | | 防止非法使用 | • 簡述APlog留存內容、review機制 • 簡述APlog收容管理方式，如：本機、arcsight • 簡述APlog保護機制，如：ReadOnly、亂碼化等 • 簡述系統校時機制|| | 防止非法使用 | • 簡述非法存取監控機制（如資安設備、帳號鎖定） • 簡述網頁防竄改機制及監控範圍 備註: 網頁防竄改(內對內)現行常見作法係透過伺服器內「檔案異動偵測」來確認是否有非法竄改網頁之情事。 | | | 防止非法使用 | 以下問項針對有金融交易之AP詢問偵測非法交易機制 • 簡述更新黑名單(AML系統)頻率、資料來源 • 簡述交易樣態檢查/比對機制 • 簡述對符合疑似洗錢表徵交易名單之確認、通知方式 • 簡述判別卡片之非法交易機制 • 海外分行防制洗錢之可疑交易監控措施，未能即時產出防制洗錢可疑交易報表 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |電子商務 | 電子交易相關內控制度文件 | | |電子商務 | 電子保單合作之憑證機構為何 | 請提供憑證機構簽訂之合約| |電子商務 | 憑證機構簽訂之合約 | | |電子商務 | 憑證機構之內部稽核或管控機制評估紀錄（如：會議紀錄/訪查紀錄等） | | |電子商務 | 電子保單採用數位簽證機制時，是否擬定電子簽章驗證失敗應變流程 | 請提供程序書| |電子商務 | 是否保存以下紀錄 一、保險業向憑證機構申請使用、變更或廢止憑證等相關紀錄。 二、憑證載具啟用紀錄。 三、與簽發電子保單有關之所有交易資料紀錄。 | 請提供佐證紀錄| |電子商務 | 是否保存電子保單相關交易資料紀錄 | | |電子商務 | 承上題，保留時間為何？ | | |電子商務 | 除了資料庫之外，是否使用其他儲存媒體來保存電子商務相關交易資料紀錄及電子保單相關紀錄？ | 請說明何種媒體儲存方式或提供委託第三方業者簽訂之合約| |電子商務 | 承上題，是否定期製作備份資料？ | | |電子商務 | 承上題，保留時間為何？ | | |電子商務 | 已簽發電子保單及電子商務之歸檔資料是否是read only | 電子商務歸檔相關控管原則(含電子保單)| |電子商務 | 電子保單業務是否有委託外部廠商處理 | 1. 廠商預選評估紀錄 2. 與委外廠商簽訂之合約/資訊安全保密切結書(委外業務) 3. 廠商服務成效評估表| |電子商務 | 電子保單委外廠商簽訂之合約 | | |電子商務 | 電子保單委外廠商預選評估紀錄 | | |電子商務 | 電子保單委外廠商服務成效評估表 | | |電子商務 | 電子商務作業人員交易資料授權處理層級相關文件 | 資訊系統人員交易資料授權處理層級| |電子商務 | 簡述客戶投保流程(電銷、網路投保) | | |電子商務 | 客戶辦理網路投保時，網頁是否提客戶交易條件相關資訊？ | 請提供交易條件資訊畫面截圖，內容應至少包含以下 1. 消費者得終止或撤銷契約之時間、方式與限制，及雙方之權利義務。 2. 要約與承諾之傳送方式、生效時間、要約有效期間、契約成立時點。 3. 消費者抱怨及申訴管道，例如：電子郵件、傳真、電話或線上諮詢服務台。| |電子商務 | 契約成立或變更後，是否對消費者發送確認之訊息？ | 請提供發送訊息佐證紀錄| |電子商務 | 消費者所簽訂之保險契約及相關文件交付方式為何？ | | |電子商務 | 保險契約約定之審閱期間或契約撤銷權及申請契約撤銷之作業流程說明 | 請提供程序書| |電子商務 | 網路投保交易資料保存期限? | | |電子商務 | 是否建立電子交易風險內部管控機制 | 請提供電子交易相關內控制度文件| |電子商務 | 如客戶申請完網路投保帳號之後5年未投保，是否取消此帳號? | | |電子商務 | 如客戶申請完網路服務帳號之後5年未辦理任何保險服務，是否取消此帳號? | | |電子商務 | 是否留有足供安全稽核之記錄資訊 (如: 使用者登出入、使用者操作紀錄、交易log、IP位址) | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |保經代 | 保、經代簽訂合作之合約 | | |保經代 | 保、經代可使用之系統管控機制(包括資料傳輸之保密方式、系統使用權限之區隔及系統帳號權限控管等相關資訊安全機制) | 請提供管理辦法| |保經代 | 保、經代可使用系統之驗證機制與密碼原則 | | |保經代 | 保、經代使用之帳密是否定期變更? | | |保經代 | 承上題，除帳密外，是否使用額外的身分驗證方式 | | |保經代 | 保、經代使用之帳號是否禁止多人共用同一帳號 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |歸檔 | 簡述取用歸檔資料的流程 | 歸檔資料調閱申請單| |歸檔 | 歸檔資調調閱程序 | | |歸檔 | 歸檔資料調閱申請紀錄 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |APP | 應用程式發布程序 | | |APP | 行動應用程式資安檢測廠商遴選及評鑑機制之相關程序書 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |資料庫 | 資料庫加密畫面截圖 | | |資料庫 | 資料庫帳號及權限管理說明 | | |資料庫 | 保存電子商務及電子保單之資料庫，其資料變更申請流程 | | |資料庫 | 保存客戶交易資料及個人資料之資料庫是否加密 | 請提供加密佐證資料，如截圖| | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |系統維運 | 員工簽署資安保密合約 | | |系統維運 | 員工異動程序書(含:入職、離職、調動單位) | | |系統維運 | 員工職務異動程序 | | |系統維運 | 員工職務異動申請紀錄 | | |系統維運 | 一般人員資訊安全管理作業程序 | | |系統維運 | 系統開發上線完整紀錄 | 需求單、訪談確認書、測試報告、黑/白箱掃描、上線檢核表…| |系統維運 | 資訊安全組織 (含: 核心系統) | 資訊作業韌性之管理權責與組織 業務負責單位及系統營運單位| |系統維運 | 主機設備定期維護紀錄 | | |系統維運 | 網路設備設定檔檢視紀錄 | | |系統維運 | 網路設備維護合約及維護紀錄 | | |系統維運 | 帳號盤點紀錄 | | |系統維運 | VPN帳戶盤點紀錄 | | |系統維運 | VPN/VDI/連線申請紀錄 | | |系統維運 | 伺服器弱點掃描紀錄 | | |系統維運 | 主機設備定保紀錄 | | |系統維運 | 主機設備報修紀錄 | | |系統維運 | 系統效能監控記錄(CPU、RAM、DISK…等) (截圖) | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |資訊作業韌性 | 資訊作業韌性規範落實狀況 | 包含項目: 核心資通系統識別、最大可容忍中斷時間、災害應變運作、核心資通系統復原計劃、復原能力之實證| |資訊作業韌性 | 核心資通系統復原程序 | | |資訊作業韌性 | 核心資通系統備援人力規劃 | | |資訊作業韌性 | 核心資通系統備援人力教育訓練紀錄 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |災難復原 | 災難復原機制說明 | | |災難復原 | BIA最新版 | | |災難復原 | 災難恢復計畫與演練紀錄 | | |災難復原 | 備援機房資料備份系統範圍 | | |災難復原 | 是否使用硬體儲存媒體設備進行資料備份 (如磁碟磁帶設備、半導體磁碟設備、光碟設備) | | |災難復原 | 承上題，是否定期執行硬體儲存媒體備份回存測試 | 請提供回存測試資料| |災難復原 | VM備份資料回存測試 | | |災難復原 | 災難恢復演練之改進修補紀錄 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |物聯網 | 本年度是否新購物聯網設備 | | |物聯網 | 物聯網管理辦法 | | |物聯網 | 物聯網設備之廠商初始帳號密碼是否收回及更改密碼 | 請提供更改紀錄| |物聯網 | 物聯網設備帳號權限管理 | | |物聯網 | 物聯網設備之密碼設定長度 | | |物聯網 | 物聯網設備維護及更新機制說明 | | |物聯網 | 物聯網設備之使用者帳號權限清冊及盤點紀錄 | | |物聯網 | 物聯網設備定期維護紀錄(printer、環控、門禁) | | |物聯網 | 物聯網設備購買合約/租賃(printer、環控、門禁) | | |物聯網 | IP申請開通單據(printer、環控、門禁) | | |物聯網 | 物聯網設備安全性無法更新之溝通汰換紀錄(printer、環控) | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |報廢流程 | 委外設備報廢紀錄及合約(含保密協議) | 電腦硬碟、資料儲存媒體| |報廢流程 | 委由報廢作業之保密合約 | | | 類別 | 問項參考 | 佐證資料 | | -------- | -------- | -------- | |新興科技-雲端 | 雲端服務管理政策| | |新興科技-雲端 | 雲端服務管理政策定期檢視紀錄 | | |新興科技-雲端 | 雲端服務資訊安全事件通報程序| | |新興科技-雲端 | 雲端服務服務合約終止或轉移程序| | |新興科技-雲端 | 雲端服務業務流程及加密、存取控管機制| | |新興科技-雲端 | 雲端服務合約| | |新興科技-社群媒體 | 社群媒體政策 | | |新興科技-社群媒體 | 社群媒體政策定期檢視紀錄 | | |新興科技-自攜裝置 | 自攜裝置管理政策 | | |新興科技-自攜裝置 | 自攜裝置管理政策定期檢視紀錄 | | |新興科技-自攜裝置 | 自攜裝置之使用清冊及盤點紀錄 | | |新興科技-自攜裝置 | 自攜裝置資料保護措施 | | |新興科技-自攜裝置 | 自攜裝置遺失處理程序 | | |新興科技-生物特徵 | 生物特徵資料安全管理程序| | |新興科技-生物特徵 | 生物特徵資料收集之客戶同意書| | |新興科技-生物特徵 | 生物特徵資料安全之評估紀錄(含生物識別機制、新專案評估)| | |新興科技-生物特徵 | 生物特徵資料安全之儲存(保留)機制| |