# About Me 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin:https://www.linkedin.com/in/alrex5401/ # 保險業辦理資訊安全防護自律規範-本文導覽 修正日期: 民國 113 年 07 月 18 日(異動差異,可見***斜線粗體***) # 第 1 條 中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會為督促會員公司資訊業務與相關資訊資產之安全,發揚自律精神,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,確保各會員公司資訊處理作業能安全有效地運作,特訂定本自律規範。 > - 依法律層級:自律規則、行政規則等數「內部法規」,位階在命令之下。[出處](https://lawplayer.tw/blog/p/legal-hierarchy-applies) > - 相較藉由法律或法規命令管理的他律規範模式,主管機關督導職業公會自行訂出的運作規則,就屬於自律規範。自律規範不具有法律效力,執行效果的強弱取決於產業自律。[出處](https://www.legis-pedia.com/dictionary/62) # 第 2 條 本自律規範用詞定義如下: 一、資訊資產:包含軟體、硬體、環境、文件、通訊、資料、人員等。 二、自攜裝置:係指非屬公司資產、透過該裝置以無線或有線通訊方式連接至會員公司內部網路,存取作業系統或檔案服務。 三、雲端服務:係指服務提供者以租借方式提供個人或企業得承租其網路、伺服器、儲存空間、基礎設施、資安設備、系統軟體、應用程式、分析與計算等資源,以達資源共享之服務。 > - 名詞解釋與定義。 # 第 3 條 各會員公司辦理資訊安全***作業***除應依據各該公司訂立之資安處理程序及其應注意事項外,並應符合依本自律規範辦理。 > - 保險公司辦理資訊安全規範,應符合並依本自律規範辦理。 # 第 4 條 各會員公司辦理資訊安全***作業***,應至少遵循下列規定: 一、應要求所聘任之員工簽署資訊安全保密切結書、雇佣契約、工作手冊,明訂員工應遵守資訊安全保密協定。 > - 員工應簽署: > -- 資訊安全保密切結書 > -- 雇佣契約 > -- 工作手冊 > - 且內容中須明訂員工應遵守之資訊安全相關保密協定。 二、有委外業務者,應於委外契約中明訂資訊安全保密協定。 > - 包含廠商與委外契約中,應明訂資訊安全相關之保密協定。 三、應透過每年定期、適當之教育訓練或宣導,告知內部員工應遵循之資訊安全規範。 > - 每年應針對員工定期辦理教育訓練。依據[保險業內部控制及稽核制度實施辦法,第6-1條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=G0390052&flno=6-1):一般員工3小時、資安專責人員15小時。 四、管理階層應督導員工遵循公司既定之資訊安全規範。 > - 常見會導入ISMS、PMIS,透過管理審查會議進行督導。 > - 依據[保險業辦理電子商務應注意事項](https://law.lia-roc.org.tw/Law/Article?lsid=FL074525&lawno=5)導入ISMS、PMIS。 五、員工職務異動時,應依既定程序辦理資訊資產退回與存取權限之變更或取消。 > - 員工職務異動、離職時: > -- 應有資訊資產變更或退回紀錄 > -- 存取權限之變更或取消紀錄。 ***六、應每年檢討資訊安全政策及資訊作業相關管理與操作規範,並於發生重大變更(如新頒布法令法規)時審查,以持續確保其合宜性、適切性及有效性。*** > - 依據[金融監督管理委員會保險局 保局(產)字第 1120491333 號函](https://law.lia-roc.org.tw/Law/ExContent?eid=FE368016)(需登入公司帳號) > -- 保險業者應於金融監督管理委員會增訂、修正發布保險法令、重要函釋或同意備查公會自律規範之日起 3 個月內,將其納入內部控制作業,並納為內部查核項目且辦理查核;另依法令遵循制度檢測人員執行業務是否確實遵循時,除抽樣檢核外,得依評估項目性質採用適當檢核方式,參酌納入以面試、筆試或其他適當方式執行檢核,以適切檢測法令遵循自行評估成效 ***七、應依據作業流程,識別人員、表單、設備、軟體、系統等資產,建立資產清冊、網路架構圖、組織架構圖及負責人,並定期清點以維持其正確性。*** > - 記得建立資產清冊、網路架構圖、組織架構圖及系統負責人 ***八、應定義人員角色及責任並區隔相互衝突的角色。*** > - 記得建立單位的JD與R&R。 >> 會員公司應每年檢討資訊作業相關規範,並明訂識別資訊資產及人員分工牽制之角色,爰參酌「[金融機構資通安全防護基準](https://www.ba.org.tw/FileDownload/Download?FileId=e6839a28-fe7e-463d-bf73-9733cfed9d67&FileName=%E9%87%91%E8%9E%8D%E6%A9%9F%E6%A7%8B%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E5%9F%BA%E6%BA%96%E4%BF%AE%E6%AD%A3%E6%A1%881120202.pdf)」第 3 條之規範內容,增訂本條第 1項第 6 至 8 款。 # 第 4 - 1條 ***各會員公司之營運環境管理人員應遵循下列事項:*** > - 為訂定營運環境管理人員規範,以確保依最小權限及僅知原則配發權限予人員使用,爰參酌「[金融機構資通安全防護基準](https://www.ba.org.tw/FileDownload/Download?FileId=e6839a28-fe7e-463d-bf73-9733cfed9d67&FileName=%E9%87%91%E8%9E%8D%E6%A9%9F%E6%A7%8B%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E5%9F%BA%E6%BA%96%E4%BF%AE%E6%AD%A3%E6%A1%881120202.pdf)第 4 條之規範內容,增訂本條。 ***一、應建立人員之註冊、異動及撤銷註冊程序,用以配置適當之存取權限;人員離調職時應儘速移除權限。*** > - 應建立資訊人員之新增異動移除程序 ***二、應列管硬體設備、應用軟體、系統軟體之最高權限帳號及具程式異動、參數變更權限之帳號。*** > - 應管理資訊系統(OS、AP和DB)的特權帳號,並進行盤點。 ***三、應確認人員之身分及存取權限,必要時得限定其使用之機器或網路位置(IP)。*** > - 高風險系統,除了身份驗證外,也要限制其來源 > - 做好『零信任』,就成功一半了 ***四、人員超過一定時間未操作個人電腦時,應設定密碼啟動螢幕保護程式或登出系統。*** > - 可參考「[金融機構資通安全防護基準](https://www.ba.org.tw/FileDownload/Download?FileId=e6839a28-fe7e-463d-bf73-9733cfed9d67&FileName=%E9%87%91%E8%9E%8D%E6%A9%9F%E6%A7%8B%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E5%9F%BA%E6%BA%96%E4%BF%AE%E6%AD%A3%E6%A1%881120202.pdf)」第 4 條之規範內容「四、人員超過十五分鐘未操作個人電腦時,應設定密碼啟動螢幕保護程式或登出系統。」 ***五、登入作業系統進行系統異動或資料庫存取時,應留存操作紀錄,除利用系統代登外,應於使用後儘速變更密碼;但因故無法變更密碼者,應建立監控機制,避免未授權變更,並於使用後覆核其操作紀錄。*** > - 進行系統異動或資料庫存取時,應留存操作紀錄; > - 實務上可用側錄機制作為軌跡,如果未能有工具協助,則建議應在申請流程中要求系統管理員進行截圖等佐證,並由需求申請單位進行覆核或是系統管理單位主管進行事後審核。 ***六、帳號應採一人一號管理,避免多人共用同一個帳號為原則,如有共用需求,申請及使用須有其他補強管控方式(如使用後更換密碼、代登入機制、密碼拆分保管等),並留存操作紀錄且應能區分人員身分。*** > - 如有共用帳號之需求,記得造冊管理。 ***七、採用固定密碼進行身分確認者應符合下列要求: (一)訂定密碼檢核邏輯。 (二)提供給人員使用之帳號於使用後三個月內應變更密碼。 (三)提供給系統使用之帳號應採取適當之管控措施(如限制人工登入、監控告警)。*** > - 「固定密碼」係指密碼永不過期(不變更)之需求。 ***八、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並限制使用,防止未經授權存取並保留稽核軌跡。*** > - 正常來說,「資料庫工具程式」應該只有DBA有工作需求使用;實務上可限制DBA使用專屬跳板機(含資料庫工具程式)進行連線操作。 ***九、最高權限帳號使用時應先取得權責主管或授權人員同意並保留稽核軌跡。*** > - 特權帳號使用,需要取得授權。 ***十、具最高權限帳號、特殊功能(如程式或軟體異動、參數或組態變更權限等)權限帳號應和日常維運用帳號區隔,並每月抽查使用結果,以防範未經授權使用;如為核心資通系統,應於該等帳號被使用後,覆核使用結果。*** > - 特權帳號使用,每月進行抽查;如涉及核心資通系統者,則應立即覆核。 > - 一般使用者帳號不應擁有系統相關權限。 ***十一、提供網際網路服務之伺服器及 AD (網域服務)主機,對於最高權限帳號及特殊功能權限帳號,應採雙因子認證或納入特權帳號管理系統強化授權及監控。*** > - 對外服務之系統或AD主機,其特權帳號應納入特權帳號管理或是雙因子驗證。 ***十二、應針對第一類及第二類電腦系統依最小權限 (least privilege)及僅知原則(need-to-know)配發權限予人員使用並定期審查帳號、權限之合理性及異常存取紀錄,以符合職務分工及牽制原則。*** > - 對第一類及第二類電腦系統帳號,應定期審核其權限及異常存取紀錄。 # 第 5 條 各會員公司應視資訊系統規模與架構,訂定***資訊系統之範圍***與相關作業規範: > - 記得盤點第一二三類系統。 一、訂定資訊系統開發及程式修改作業程序。 > - 記得在資訊系統開發及程式修改作業相關程序中,包含核心資訊篇幅。 二、核心資訊系統應包括但不限於核保出單、保全(批改)、理賠、保費(收費)系統。 > - 除了上述明文定義之核心系統外,建議參考[保險業資訊作業韌性參考原則,第4條](https://law.lia-roc.org.tw/Law/Article?lsid=FL099286&lawno=4) > - 核心資通系統識別: >保險業應視系統規模、架構及依賴程度,訂定範圍及作業流程,內容包括: (一)辨識所有核心資通系統之重要性與相依性。 (二)盤點支持系統持續營運所需之重要支援資訊系統。 (三)核心資通系統若建置於國外總公司時,依國外總公司所訂定資訊安全規範機制為基準,提供相關文件後予以排除豁免,並僅就本地實務可執行面進行資訊系統評估。 三、訂定核心資訊系統***與第一類電腦系統中遠距服務、行動服務及電子商務資訊系統***置換作業程序之項目: (一)系統轉換前之準備工作: 1.應建立架構審查機制,從應用程式、資料庫、資安、網路、平台、營運等面向進行評估,並評估一次過版或平行運轉可行性。 2.應檢視相關設備容量,評估營運及業務需求所需備載容量。應建置擬真測試環境(如 UAT),測試新系統或功能相容於既有營運環境之架構、設備及參數。 3.應訂定測試計劃與產出標準,依計劃以及影響範圍進行各項測試。測試應含功能測試(如單元、整合、迴歸等),及非功能性測試(如相容性、尖峰量壓力測試及複合情境等)項目,並進行整體性演練。 4.應進行上線變更審查及風險評估,辨識複雜度及影響範圍,並檢視測試個案及上線復原計畫之完整性,與建立多個檢核點及啟動復原之決策條件。 5.應預留復原作業及上線驗證時間。 6.應要求設備提供廠商與委外開發廠商於上線支援時,能緊急提供備品、問題查找及修改人力。 7.應召開上線協調會議,安排工作項目並確保各項準備到位。 8.應提前公告並進行教育訓練(含異常話術)。 (二)系統轉換作業: 1.依上線計畫逐步執行,檢視每一個檢核點,必要時召開復原決策會議。 2.執行系統及資料備份,以因應復原時所需。 3.驗證各項變更作業,確保如預期結果。 4.驗證各項資料內容,確保資料完整性。 5.逐步啟動各項作業並監控網路及系統,確保提供足夠資源。 (三)系統轉換後之事件管理: 1.持續系統監控,確保資料正確、功能正常、系統穩定。 2.落實事故應變,以消費者權益及持續營運優先處理。 3.集中管理問題並適時調配各單位資源。 4.追蹤問題原因,提出短中長期改善方案並持續追蹤。 > - 記得在資訊系統開發及程式修改作業相關程序中,並包含核心資訊系統***與第一類電腦系統中遠距服務、行動服務及電子商務資訊系統***置換作業程序。 # 第 6 條 各會員公司應建立資安防禦機制,並依據保險業辦理電腦系統資訊安全評估作業原則(如附件一)辦理各項資訊安全評估作業,以改善並提升網路與資訊系統安全防護能力。 > - 原則上在組織內所有的資訊系統,應都涵蓋在[附件一、保險業電腦系統資訊安全評估作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330930)的範疇內,並依定義分類第一、二、三類系統;原則上不該有未分類的系統。 > 常見問題 > - Q1,系統(設備)不在組織內之系統,是否應納入第一、二、三類系統? > A1,答案是,不需要,但建議仍依資訊安全評估作業原則要求廠商進行相關檢測作業;這部分偏供應商管理範疇。 > - Q2,組織申請之雲端服務(系統),是否應納入第一、二、三類系統? > A2,答案是,建議納入,並依[附件三、保險業運用新興科技作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330934)要求廠商滿足相關條款;並檢視相關服務,是否涉及[保險業作業委託他人處理應注意事項](https://law.lia-roc.org.tw/Law/Content?lsid=FL055291)。 > - Q3,派版系統、AD系統等管理類系統是否應納入第一、二、三類系統? > A3,答案是,至少應列在第三類系統;但是依據風險與重要性,建議列在第一類系統或比照辦理。過往專案金檢經驗,曾被問,如果相關系統毀損或異常,是否會影響該第一類系統,如果會,請列入第一類系統。就參考看看。 # 第 7 條 各會員公司若有開發並提供行動裝置應用程式,應依據保險業提供行動裝置應用程式作業原則(如附件二)辦理,以確保行動應用程式(App )安全防護能力,並保障消費者權益。 > - 公司內有使用相關行動裝置應用程式服務,應依[附件二、保險業提供行動應用程式(App)作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330932)進行相關檢測作業。 > 常見問題 > - Q1,是否要取得[行動應用App基本資安標章](https://www.mas.org.tw/app/passed)? > A1,並無強制要求取資安標章,僅要求依據委託專業機構和依據對應項目進行檢測;資安標章,僅供組織考量是否應用相關曝光或是媒體公關、行銷需求。 # 第 8 條 各會員公司若有運用新興科技(包含雲端服務、社群媒體、生物特徵資料及自攜裝置等),需依據保險業運用新興科技作業原則(如附件三)辦理,以建立完善之控管機制,降低新興科技之運用風險。 > - 公司應盤點是否有運用新興科技(包含雲端服務、社群媒體、生物特徵資料 及自攜裝置等),並建議制訂相對應管理規範,內容應至少包含或對應[附件三、保險業運用新興科技作業原則](https://law.lia-roc.org.tw/Law/GetFile/0000330934)。 > - 常見問題 > - Q1,如果開放員工使用自己的手機收發公司郵件,是否符合自攜裝置定義? > A1,算。故,建議使用MDM等控管機制,進行相關盤點及控管。 > - Q2,錄音檔(聲紋)是否歸屬於生物特徵資料或是個資? > A2,闡述不同角度說明,僅供參考(ASR和自然語言處理系統,不列入討論範圍。) > A2-1,錄音檔,並未做「生物辨別數據:通過測量或是分析人體特徵或自動量測個人生物特徵而生成的數據」這類處理;惟上法庭進行法庭鑑識時,才會針對錄音檔進行聲紋採檢和本人聲紋比對。 > A2-2,聲音屬於GDPR的個資,但作為生物特徵進行身分辨識(Speaker Recognition) 是有疑慮的;以GDPR來看,生物特徵識別資料,只採認臉部圖像和基因(染色體/DNA/RNA)。 > A2-3,以我國司法院判決書查詢系統來看,法官判案不單只是從「錄音檔」來斷案,必須搭配其他的「證物」來綜合研判。 # 第 9 條 各會員公司若有運用物聯網設備,需依據保險業物聯網設備作業準則(如附件四)辦理,以強化物聯網設備之安全。 > - 公司應盤點IOT相關設備並造冊管理,且依據條款內容識別對應之資安控管;制訂相對應管理規範,內容應至少包含或對應[附件四、保險業使用物聯網設備作業準則](https://law.lia-roc.org.tw/Law/GetFile/0000330936)。 > - 常見問題 > - Q1,錄音系統是否歸類於IOT或是資訊設備管理? > A1,如果組織已列管在資訊設備相關管理中,則僅做盤點、造冊即可;依據現行資訊設備管理即可。 > - Q2,廠商是否能夠擁有最高權限之帳號密碼? > A2,建議仍指派專責人員負責控管。雖然實務上執行...有難度。 > - Q3,IOT權責單位為何? > A3,建議與相關權責單位(如資訊、資安和總務)進行會議討論,良性溝通相關可行作業流程或是控管點。 # 第 10 條 各會員公司辦理電子商務,應遵循下列事項:依據保險業經營電子商務自律規範及保險業電子商務身分驗證之資訊安全作業準則(如附件五)辦理,並建立安全有效之驗證機制,減少身分冒用及詐騙情事發生,以確保電子商務之資訊安全。 > - 應識別對應之電子商務系統(常見是網路投保系統和保戶網路作業系統),客戶身分驗證機制應至少比照[附件五、保險業網路電子商務身分驗證之資訊安全作業準則](https://law.lia-roc.org.tw/Law/GetFile/0000330938)。 # 第 11 條 各會員公司應訂定設備報廢作業程序,報廢前應將機密性、敏感性資料及授權軟體予以移除、實施安全性覆寫或實體破壞,應確保報廢之電腦硬碟及儲存媒體儲存之資料不可還原,並留存報廢紀錄,若委託第三者銷毀時,應簽訂保密合約。 > - 應訂定設備報廢作業程序。 > - 相關報廢紀錄,常見應全程錄音錄影、專人隨車監督。 # 第 12 條 各會員公司於非公司職場實施異地辦公或遠端工作時,應評估相關作業風險,以強化遠端作業之安全: 一、針對營運環境調整、資料傳輸及加密機制、機敏資料防護、稽核軌跡留存、異常行為監控及對外遠端存取設備進行評估及強化,系統及設備如有重大漏洞應立即處理及因應,降低業務運作風險,確保整體保險系統穩定及安全。 > - 應定期檢視(評估)異地辦公或遠端工作之相關作業風險,包含但不限於營運環境架構、資料傳輸及加密機制、機敏資料防護、相關稽核軌跡留存、異常行為監控及對外遠端存取設備的評估及強化機制。 二、針對使用之視訊會議系統、VPN及VDI等設備,應訂定相關使用規範並落實各項安全管控作業。 > - 明文要求或是限制相關視訊會議系統、VPN及VDI等系統,並訂定相關使用規範。 ***三、應使用會員公司配發之裝置或設備,或使用資料不落地之機制,方得辦理遠端作業。*** > - 明文要求使用公司配發(控管)之設備進行遠端作業,或使用VPN及VDI等資料不落地之機制。 # 第 13 條 各會員公司應加強資訊安全事故管理。 各會員公司若發生資通安全事件,足以影響保險業信譽、或危及保險業正常營運、或金融秩序情事者,應依「保險業通報重大偶發事件之範圍申報程序及其他應遵循事項」規定辦理通報及回報各所屬公會,並採取適當處理措施,以控制資安事件影響範圍之擴大。 > - 依據內部「資通安全事件通報」要求或組織內「重大偶發作業通報」程序,進行通報。 > - 應填報「資通安全事件通報單」。 > - 建議擬通報公會或公會「資安事件應變支援小組」 > - 建議建置「數位證據保存作業」作業程序,以利相關證據保存作業,得以依循。 > - 建議擬依據「保險業重大資通安全事件通報作業實施原則(草案)」進行通報。 # 第 14 條 各會員公司若有建置***可由外部Internet直接連線之網際網路應用系統***及核心資訊系統,應定期辦理相關安全性檢測,相關資訊安全說明如下: > - 第一類系統。 一、網際網路應用系統: (一)應至少每季進行一次作業系統之弱點掃描,會員公司依掃描結果應進行風險評估,評估為高風險以上之弱點應於 2 個月內修補或完成補償性控制措施,評估為中、低風險應訂定適當措施及完成時間,執行矯正、紀錄處理情形並追蹤改善。 > - 針對網際網路應用系統應至少每季進行一次主機弱點掃描,高風險以上應於2個月內修補或完成補償性控制措施;中、低風險應依內部規範進行矯正、紀錄處理情形並追蹤改善。 (二)新系統或系統功能首次上線前及至少每半年應針對異動程式進行程式碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評估,及針對不同風險訂定適當措施及完成時間,執行矯正、記錄處理情形並追蹤改善;如無異動者則不在此限,但仍應參照「保險業電腦系統資訊安全評估作業原則」辦理電腦系統分類及評估週期相關作業。 > - 針對網際網路應用系統: > - 新系統或系統功能首次上線前,應針對進行程式碼掃描或黑箱測試,依內部規範進行矯正、紀錄處理情形並追蹤改善。 > - 程式異動,應針對異動程式進行程式碼掃描或黑箱測試。 > - 如無異動者,至少每半年進行程式碼掃描或黑箱測試。 二、核心資訊系統: (一)應至少每半年進行一次作業系統之弱點掃描,會員公司依掃描結果應進行風險評估,評估為高風險以上之弱點應於 3 個月內修補或完成補償性控制措施,評估為中、低風險應訂定適當措施及完成時間,執行矯正、紀錄處理情形並追蹤改善。 > - 針對核心資訊系統應至少每半年進行一次主機弱點掃描,高風險以上應於3個月內修補或完成補償性控制措施;中、低風險應依內部規範進行矯正、紀錄處理情形並追蹤改善 (二)如為開放式系統,新系統或系統功能首次上線前及至少每半年應針對異動程式進行程式碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評估,及針對不同風險訂定適當措施及完成時間,執行矯正、記錄處理情形並追蹤改善;如無異動者則不在此限,但仍應參照「保險業電腦系統資訊安全評估作業原則」辦理電腦系統分類及評估週期相關作業。 > - 針對核心資訊系統之開放式系統: > - 新系統或系統功能首次上線前,應針對進行程式碼掃描或黑箱測試,依內部規範進行矯正、紀錄處理情形並追蹤改善。 > - 程式異動,應針對異動程式進行程式碼掃描或黑箱測試。 > - 如無異動者,至少每半年進行程式碼掃描或黑箱測試。 # 第 15 條 各會員公司辦理資訊系統維運時,應注意相關控制措施如下: 一、系統發展生命週期之維運(包含開發、測試)時,須注意版本控制與變更管理。 > - 系統開發,應進行版本控制與變更管理。 > - 常見要求,開發與上版應不同人員(單位)。 二、應定期審核資訊系統帳號之建立、修改及刪除。 > - 應定期檢視(審核)系統內之帳號及其權限妥適性。 三、應建立帳號管理機制,包含帳號之申請及刪除之程序。 > - 針對帳號之建立、修改及刪除,應留存申請與核准軌跡。 四、應定期檢視防火牆規則,以確保現行控制之有效性。 > - 應定期檢視防火牆規則及其妥適性,包含Any開通疑慮、最小權限開通原則。 # 第 16 條 各會員公司依保險業作業委託他人處理應注意事項辦理資訊系統作業委外,應於規劃及遴選階段,將資訊安全相關內容納入評估項目,以強化資訊安全。並遵循下列事項: > - 除應遵循[保險業作業委託他人處理應注意事項](https://law.lia-roc.org.tw/Law/Content?lsid=FL055291),仍有下列項目要遵循喔! 一、服務提供廠商應具備資訊安全相關認證或已有資通安全維護之相關措施。 > - 常見就是要求廠商要有ISO27001的認證; > 或是廠商人員擁有[資通安全專業證照清單](https://moda.gov.tw/ACS/laws/certificates/676)上之相關證照。 二、審核作業委外廠商資格: (一)各會員公司應制定有關審核廠商資格之內控機制,並就作業委外提供廠商進行評選審查作業。 (二)將資訊安全相關認證納入遴選項目,且應訂定內部程序,其至少包含作業委外廠商遴選機制、合約或協議簽訂、作業委外廠商管理要項、產品交付和驗收或維運等項目。 (三)各會員公司應將資訊安全或個人資料隱私管理相關認證納入資訊系統之作業委外廠商評估項目。 (四)各會員公司之資訊系統委外時,應依據委外廠商規模或作業特性,評估進行委外廠商監督。 > - 應訂定「資訊作業委外管理辦法」,內容應至少包含作業委外廠商遴選機制、合約或協議簽訂、作業委外廠商管理要項、產品交付和驗收或維運等項目。 > - 常見在請購、評選、採購和議價流程中,應有下列評選紀錄;如果有內部有簡化流程,記得在議價階段,留下評選紀錄。 > - 服務提供廠商應具備資訊安全相關認證或已有資通安全維護之相關措施,並將資訊安全或個人資料隱私管理相關認證納入遴選項目之中。 > - 評估進行委外廠商查核之可行性。 三、作業委外廠商管理要項: (一)應建立作業委外廠商管理規範,其內容應含作業委外廠商之人員管控,並建立適當檢驗機制,以確保管理機制有效落實。 (二)各會員公司之資訊系統委外廠商管理時,其管理項目應納入對委外廠商存取資訊之控管機制、對委外廠商服務之資訊安全管理措施查核機制、發生資安事故時委外廠商通知機制與應處時效要求、與委外廠商關係終止管理機制等項目。 (三)作業委外廠商進行軟、硬體維運時,應具備資通安全維護之措施。 (四)若作業委外內容有重大變更或重大事件時,應審查是否影響相關資訊安全管理制度或依循標準之要求並評估其風險,採取適當控制措施。 (五)作業委外廠商簽訂合約或協議,應遵循相關安全管理措施,其內容包含: 1.服務供應廠商履行合約或協議時所提供軟體(或交付標的物)為交付產品,需具備合法性且不得違反智慧財產權之規定或侵害第三人合法權益。 2.作業委外廠商進行資訊系統開發或維運時,若涉及客戶、員工個人資料,需考量具個人資料安全防範措施。 3.應約定資安檢測與弱點修補之責任與時效要求。 4.應訂定相關資訊安全管理責任。 5.委外廠商交付之系統或程式,應確保無惡意程式及後門程式,或提供相關掃描報告。 (六)資訊系統作業委外終止或結束時,委外廠商應提供移轉服務,將留存資料移回至各會員公司自行處理,並應刪除或銷毀全數資料,且提供刪除或銷毀之佐證資訊與紀錄。 > - 應訂定「資訊作業委外管理辦法」或於合約中載明,包含委外廠商存取系統或資料之控管機制、廠商查核機制、發生資安事故時委外廠商**通知機制**與**應處時效要求**、**關係終止之管理機制**。 > - 交付之系統或程式,應具備合法性且不違反智慧財產權或侵害第三人合法權益,確保無惡意程式及後門程式,或提供相關掃描報告;訂定相關資訊安全管理責任。 > - 若涉及客戶、員工個人資料,需考量個資安全防範措施 > - 委外終止或結束時,應提供移轉服務,將留存資料移回至公司處理,刪除或銷毀全數資料,且提供刪除或銷毀之佐證資訊與紀錄。 四、委外稽核: (一)定期進行查核作業。 (二)辦理作業委外稽核時,於簽訂之合約應載明保留相關之稽核權利,得自行或委託獨立單位對委外廠商監督及查核之權責行為。 (三)執行委外稽核作業後,應對稽核紀錄之文件進行複審及保存並由需求單位進行存查。 (四)提供委外稽核服務的廠商須通過政府資通安全建議的相關證照或可參照「保險業電腦系統資訊安全評估作業原則」之第柒點要求。 > - 於簽訂之合約應載明保留相關之稽核權利,並定期進行實地查核作業,得自行或委託獨立單位進行,稽核紀錄應進行複審及保存。 > - 提供委外稽核服務的廠商須通過政府資通安全建議的相關證照或可參照「保險業電腦系統資訊安全評估作業原則」之第柒點要求 各會員公司辦理資訊系統委外作業項目,有涉及核心資訊系統者,除應依前項各款規定辦理外,應併同遵循「保險業核心資通系統作業委外資安注意事項」(如附件六)。 > - 總結 > - 作業規範: > -- 應訂定「資訊作業委外管理辦法」,內容應至少包含作業委外廠商遴選機制、合約或協議簽訂、作業委外廠商管理要項、產品交付和驗收或維運等項目。 > -- 若作業委外內容有重大變更或重大事件時,應審查影響範圍並評估其風險,採取適當控制措施。 > - 委外廠商遴選: > -- 應具備資訊安全相關認證或已有資通安全維護之相關措施,並將資訊安全或個人資料隱私管理相關認證納入遴選項目之中。 > - 委外合約簽訂: > -- 交付之系統或程式,應具備合法性且不違反智慧財產權或侵害第三人合法權益,確保無惡意程式及後門程式,或提供相關掃描報告。 > -- 訂定相關資訊安全管理責任。 > -- 委外廠商存取系統或資料之控管機制、廠商查核機制、發生資安事故時委外廠商**通知機制**與**應處時效要求**、**關係終止之管理機制**。 > -- 若涉及客戶、員工個人資料,需考量個資安全防範措施。 > -- 應載明保留相關之稽核權利,並定期進行實地查核作業,得自行或委託獨立單位進行,稽核紀錄應進行複審及保存。 > -- 委外終止或結束時,應提供移轉服務,將留存資料移回至公司處理,刪除或銷毀全數資料,且提供刪除或銷毀之佐證資訊與紀錄。 > - 委外稽核廠商資格: > -- 擁有[資通安全專業證照清單](https://moda.gov.tw/ACS/laws/certificates/676)上之相關證照或參照「保險業電腦系統資訊安全評估作業原則」之第柒點要求。 > - 相關資訊作業委外法規依循: > -- [保險業作業委託他人處理應注意事項](https://law.lia-roc.org.tw/Law/Content?lsid=FL055291) > -- [附件六、保險業核心資訊系統作業委外資安注意事項](https://law.lia-roc.org.tw/Law/GetFile/0000330940) # 第 17 條 ***各會員公司***應加強日誌紀錄管理,並遵循下列事項: 一、***應評估各系統***產生之事件日誌紀錄(內容包含但不限於事件類型、發生時間、發生位置、使用者身分識別等資訊)***之保留機制。*** 二、第一類、第二類電腦系統日誌應至少遵循下列規定辦理: ***(一)紀錄至少需保留180天。如涉及個人資料之日誌紀錄者,保留期限應依個人資料保護法等相關規定辦理。*** (二)事件日誌應設有存取限制,並應用適當方式確保完整性;另應依據事件日誌紀錄之儲存需求配置容量,且定期將日誌紀錄送至原系統外之其他系統進行集中管理;或建置日誌伺服器等相關方案滿足以上需求。 (三)應定期審查系統管理者活動以識別異常或潛在資安事件並保留紀錄,***設定合適告警指標並定期檢討修訂***;或將相關事件日誌納入資訊安全事件之監控管理機制範圍。 (四)應訂定日誌處理失效之告警及應處機制。 (五)系統內部時間應定期進行基準時間源進行同步。 > - 應將事件日誌紀錄,內容包含但不限於事件類型、發生時間、發生位置、使用者身分識別等資訊,並定期進行基準時間源同步。 > - 事件日誌紀錄至少需保留180天或依相關法令規定。 > - 如涉及個人資料之日誌紀錄者: > -- 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。 > -- 銷售紀錄之保存[保險業招攬及核保作業控管自律規範-第六條](https://law.lia-roc.org.tw/Law/Article?lsid=FL037628&lawno=6)銷售過程應保存至保險契約期滿後五年或未承保確定之日起五年。 > -- 未承保件個人資料之保存,依[保險業招攬及核保理賠辦法-第七條](https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=G0390042&flno=7),保存期限不得逾未承保確定之日起五年;或爭議處理終結之日起一年。 > - 事件日誌紀錄應設有存取限制,並確保完整性,且定期將備份日誌紀錄送至原系統外之其他系統進行集中管理或建置日誌伺服器等相關方案,並訂定日誌處理失效之告警及應處機制。 > - 應定期審查系統管理者活動以識別異常或潛在資安事件並保留紀錄,設定合適告警指標並定期檢討修訂;或將相關事件日誌納入資訊安全事件之監控管理機制範圍。 # 第 18 條 各會員公司應強化對跨機構合作夥伴(含保險經紀人、代理人等合作關係)之資訊安全風險評估與措施,並遵循下列事項: 一、就保險業與跨機構合作夥伴共同使用之網際網路應用系統(如網路投保、網路要保等直接提供客戶自動化服務之系統),其系統管控機制應包括資料傳輸之保密方式、系統使用權限之區隔及系統帳號權限控管等相關資訊安全機制。 二、與跨機構合作夥伴合約簽訂時,應進行風險評估並規劃風險處置措施,並於雙方簽訂備忘錄或契約中載明相關要求,其內容需包含資訊安全及保戶個人資料保護相關條款、禁止多人共用同一帳號,以及相關業務往來之查核機制或控管措施,以確保資訊安全維護能力與水準。 三、提供跨機構合作夥伴資訊服務者,應採用雙因子驗證或相關身分驗證方式,並應定期辦理帳號密碼變更及帳號清查。 > - 跨機構合作夥伴,應包含但不限於 > 1.保險經紀人、代理人等合作關係 2.保險業與醫療院所: 參與保險科技運用共享平台。 3.壽險公會: 運營保險存摺系統,可跨平台登入保險業保戶會員系統。 4.健保署: 合作健保協同商保服務,健康存摺App可跨平台存取保險業保戶會員系統。 5.其他金融機構: 依金融機構間資料共享指引辦理資料共享。 6.金控轄下子公司:依金融控股公司子公司間共同行銷管理辦法辦理共同行銷。 7.集團、金控內各子公司或異業間相關之合作或試辦專案。 > - 如共同使用之網際網路應用系統,其系統管控機制應包括資料傳輸之保密方式、系統使用權限之區隔及系統帳號權限控管等相關資訊安全機制,並應採用雙因子驗證或相關身分驗證方式,定期辦理帳號密碼變更及帳號清查。 > - 合約簽訂時,應進行風險評估並規劃風險處置措施,並於雙方簽訂備忘錄或契約中載明相關要求,其內容需包含資訊安全及保戶個人資料保護相關條款、禁止多人共用同一帳號,以及相關業務往來之查核機制或控管措施。 # 第 19 條 辦理網路安全管理時,應注意下列控制措施: 一、保險業對外提供之網站服務應建立 https安全連線,以確保連線之機密性與完整性。 二、內部網路應依正式營運、測試、辦公室等使用目的區隔網段,網路區域間連接應進行控管,如以防火牆、虛擬區域網路 VLAN 或實體線路加以區隔;正式營運內應再依電腦系統分類或系統功能或服務特性進行網段區隔。 三、人員使用外部網路連線內部電腦系統時,應使用虛擬私有網路 (VPN)或虛擬桌面(Virtual Desktop) 之方式連線,並採多因子驗證,且須進行異常連線管理。 四、保險業網際網路應用系統,須建立防火牆(Firewall)、網站應用程式防火牆(WAF) 防護機制、入侵偵測及防禦機制,並定期檢視其防護規則及參數設定。 五、員工電腦應建立上網行為管理措施,並啟用偵測惡意連線機制,確保阻斷外部惡意連線。 六、為強化正式伺服器主機的安全控管機制,於使用特權帳號進行正式伺服器主機管理作業時,應經主管審核後,透過特權帳號管理 (PAM)或跳板機等管理系統或獨立的管制網段才可連線正式伺服器主機,並留存稽核軌跡,以確保正式伺服器網段的連線安全性。 七、應關閉非必要之網路服務,限制對網際網路非必要之連線。 > - 對外網站強制使用https,並建立防火牆(Firewall)、網站應用程式防火牆(WAF) 防護機制、入侵偵測及防禦機制,關閉非必要之網路服務與連線。 > - 應進行網段區隔,至少分隔正式營運、測試和辦公室(OA);正式營運內應再依電腦系統分類或系統功能或服務特性進行網段區隔,常見區分Web、AP、DB。 > - 人員使用外部網路連線內部電腦系統時,應使用VPN或VDI,並採多因子驗證,如有異常連線,應進行管理調查。 > - 員工電腦應建立上網行為管理措施,並啟用偵測惡意連線機制,確保阻斷外部惡意連線。 > - 正式伺服器主機之特權帳號使用,應經主管審核,並透過特權帳號管理 (PAM)或跳板機等管理系統或獨立的管制網段進行連線管理,並留存相關稽核軌跡。 # 第 20 條 各會員公司應將本自律規範內容,納入內稽內控制度中,並定期辦理查核。 > - 內部稽核必查,常見是檢視查核報告。 # 第 21 條 各會員公司如有違反本自律規範之情事,經查證屬實者且違反情節較輕者,得先予書面糾正;如情節較重大者,提報經各所屬公會理事會通過後,處以新台幣伍萬元以上,貳拾萬元以下之罰款;前述處理情形並應於一個月內報主管機關。 > - 金檢必查,一般金檢看報告;專案金檢逐條文檢視。 > - 有聽說金檢有技術檢查,但我尚未遇到,請注意。 # 第 22 條 本規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會共同訂定,經各該公會理事會決議通過報主管機關備查後施行,修正時亦同。 > - 壽險與產險要求拉齊。 > - 慢慢往銀行要求靠攏囉! # 法規來源: [中華民國人壽保險商業同業公會](https://law.lia-roc.org.tw/Law/Content?lsid=FL072726)
×
Sign in
Email
Password
Forgot password
or
By clicking below, you agree to our
terms of service
.
Sign in via Facebook
Sign in via Twitter
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Wallet (
)
Connect another wallet
New to HackMD?
Sign up