--- # System prepended metadata title: 保險經紀人辦理電腦系統資訊安全評估作業原則 --- # 保險經紀人辦理電腦系統資訊安全評估作業原則 # 時間: 中華民國112年9月13日 [最新版](https://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040390061044000-1120913) 壹、前言 為確保保險經紀人提供電腦系統具有一致性基本系統安全防護能力, 擬透過各項資訊安全評估作業,發現資安威脅與弱點,藉以實施技術 面與管理面相關控制措施,以改善並提升網路與資訊系統安全防護能 力,訂定本辦法。 貳、評估範圍 一、保險經紀人應就整體電腦系統(含自建與委外維運)依據本作業 原則建構一套評估計畫,基於持續營運及保障客戶權益,依資訊 資產之重要性及影響程度進行分類,定期或分階段辦理資訊安全 評估作業,並提交「電腦系統資訊安全評估報告」,辦理矯正預 防措施,並定期追蹤檢討。 二、評估計畫應報董(理)事會或經其授權之經理部門核定,但外國 保險經紀人公司在台分公司,得授權由在中華民國負責人為之。 評估計畫至少每三年重新審視一次。 參、電腦系統分類及評估週期 一、電腦系統依其重要性分為三類: (圖表內容請參閱附件) 二、單一系統而為數眾多且財產權歸屬於公司之設備得以抽測方式辦 理,抽測比例每次至少應占該系統全部設備之 10%或100台以上 。 三、單一系統發生重大資訊安全事件,應於三個月內重新完成資訊安 全評估作業。 四、保險經紀人如有第一類電腦系統,全部核心資通系統至少每二年 辦理一次業務持續運作演練。 附件 肆、資訊安全評估作業 一、資訊安全評估作業項目: (一)資訊架構檢視 1.檢視網路架構之配置、資訊設備安全管理規則之妥適性 等,以評估可能之風險,採取必要因應措施。 2.檢視單點故障最大衝擊與風險承擔能力。 3.檢視對於持續營運所採取相關措施之妥適性。 4.適時參考金融資安資訊分享與分析中心( F–ISAC)或 其他資安廠商所發布之資安威脅情資及資安防護建議, 並採取相關措施。 (二)網路活動檢視 1.檢視網路設備、伺服器之存取紀錄及帳號權限,識別異 常紀錄與確認警示機制。 2.檢視資安設備(如:防火牆、入侵偵測或防禦、防毒軟 體、資料外洩防護、垃圾郵件過濾、網路釣魚偵測、網 頁防護)之監控紀錄,識別異常紀錄與確認警示機制。 3.檢視網路是否存在異常連線或異常網域名稱解析伺服器 ( Domain Name System Server, DNS Server)查詢, 並比對是否有符合網路惡意行為的特徵。 (三)網路設備、伺服器及終端機等設備檢測 1.檢視網路設備、伺服器及終端機的弱點與修補。 2.檢視終端機及伺服器是否存在惡意程式。 3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如 檔案傳輸( File Transfer Protocol, FTP)連線、資 料庫連線等)之儲存保護機制與存取控制。 (四)網站安全檢測 1.針對網站進行滲透測試或針對網站及客戶端軟體進行弱 點掃描、程式原始碼掃描或黑箱測試。 2.檢視網站目錄及網頁之存取權限。 3.檢視系統是否有異常的授權連線、 CPU資源異常耗用及 異常之資料庫存取行為等情況。 (五)安全設定檢視 1.檢視伺服器(如網域服務Active Directory)有關「密 碼設定原則」與「帳號鎖定原則」設定。 2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要 通訊埠,連線設定是否有安全性弱點。 3.檢視系統存取限制(如存取控制清單Access Control L ist)及特權帳號管理。 4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更 新設定及更新狀態。 5.檢視金鑰之儲存保護機制與存取控制。 (六)存取機制檢視 1.檢視帳號管理: (1)帳號管理機制,包含帳號之申請、建立、修改、啟用 、停用及刪除之程序。 (2)已逾期之臨時或緊急帳號應刪除或禁用。 (3)資通系統閒置帳號應禁用。 (4)定期審核資通系統帳號之申請、建立、修改、啟用、 停用及刪除。 2.檢視最小權限:採最小權限原則,僅允許使用者(或代 表使用者行為之系統程序)依業務需求取得所需之存取 權限。 3.檢視遠端存取: (1)通過授權檢查後始可放行,並建立相關使用限制、組 態需求及連線需求,包含使用者身分類型、來源位址 、連線人數上限、網路連線類型、開放時段、允許存 取的功能資源及任何先備條件等限制。 (2)於伺服器端完成使用者之權限檢查作業。 (3)監控遠端存取公司內部網段或資通系統後臺之連線。 (4)採用加密機制建立安全通道。 (5)遠端存取之來源應為公司已預先定義及管理之存取控 制點。 (七)事件日誌機制檢視 1.檢視紀錄事件: (1)訂定日誌之記錄時間週期及留存政策,並保留日誌至 少六個月。 (2)確保資通系統有記錄特定事件之功能,並決定應記錄 之特定資通系統事件。 (3)記錄資通系統管理者帳號所執行之各項功能。 (4)定期審查公司所保留資通系統產生之日誌掌握期間是 否曾發生重要資安事件。 2.檢視日誌紀錄內容應包含事件類型、發生時間、發生位 置及任何與事件相關之使用者身分識別等資訊。 3.檢視日誌儲存容量:依據日誌儲存需求,配置充足之儲 存容量。 4.檢視日誌處理失效之回應 (1)資通系統於日誌處理失效致無法順利產生或留存時, 應採取適當之行動。 (2)日誌處理失效事件發生時,資通系統於規定時效內, 對特定人員提出告警。 5.檢視時戳及校時 (1)資通系統應使用系統內部時鐘產生日誌所需時戳,並 可以對應到世界協調時間( UTC)或格林威治標準時 間(GMT)。 (2)系統內部時鐘應定期與基準時間源進行同步。 6.檢視日誌資訊之保護: (1)對日誌之存取管理,僅限於有權限之特定人員。 (2)應運用雜湊或其他適當方式確保日誌未遭竄改。 (八)系統備份檢視: 1.訂定可容忍資料損失之時間要求。 2.定期執行系統源碼含原始程式碼、目的程式等與資料備 份。 3.應在與運作系統不同地點之安全處所,儲存備份資料, 並定期測試備份資料為可用。 (九)系統備援檢視: 1.訂定資通系統從中斷後至重新恢復服務之可容忍時間要 求。 2.應規劃適當的備援機制,於原服務中斷時,由備援設備 或其他方式取代並提供服務。 (十)合規檢視 檢視整體電腦系統是否符合本作業原則「伍、資訊系統可 靠性與安全性管理對策」之規範。 二、第一類電腦系統應依前項辦理資訊安全評估作業,第二類及第三 類電腦系統辦理訊安全評估作業則依系統特性選擇前項必要之評 估作業項目。 伍、資訊系統可靠性與安全性管理對策 一、會員公司應就提升資訊系統可靠性研擬相關對策,其內容包括: (一)提升硬體設備之可靠性:包含預防硬體設備故障與備用硬 體設備設置之對策。 (二)提昇軟體系統之可靠性:包含提升軟體開發品質與提升軟 體維護品質對策。 (三)提升營運可靠性之對策。 (四)故障之早期發現與早期復原對策。 (五)災變對策 二、會員公司應就資訊安全性侵害研擬相關對策,其內容包括: (一)資料保護:包含防止洩漏、防止破壞篡改與相對應檢測之 對策。 (二)防止非法使用:包含存取權限確認、應用範圍限制、防止 非法偽造、限制外部網路存取及偵測與因應之對策。 (三)防止非法程式:包含防禦、偵測與復原對策。 三、會員公司應就系統與資訊完整性研擬相關對策,其內容包括: (一)漏洞修復: 1.應定期進行軟體元件漏洞修復與更新,包含作業系統、 資通系統伺服器、開發框架,以及第三方函式庫等軟體 元件。並於更新前評估可能風險,避免對系統服務造成 預期外的影響。 2.應注意安全漏洞訊息(如F-ISAC情資或其他資安廠商、 CVE相關網站、廠商安全通告等),如有資通系統相關 漏洞應儘快修復。 (二)資通系統監控: 1.應建立資通安全通報機制,如有發現資通系統有被入侵 跡象時,應通報公司特定人員。 2.應建立資通監控機制(如 Web應用程式防火牆、入侵偵 測系統、入侵防禦系統、惡意程式碼防護軟體、掃描工 具,日誌監控軟體、網路監控軟體等),以偵測惡意攻 擊與未授權之連線,並發現未經授權之使用行為。 (三)軟體及資訊完整性: 1.應使用適當工具,檢查重要軟體及資訊內容是否被惡意 竄改。 2.使用者輸入資料之合法性檢查(如字元集、長度、數值 範圍及可接受值等),應置於應用系統伺服器端。 3.發現違反完整性時,應進行事件通報、緊急應處及復原 等安全保護措施。 四、會員公司應就識別與鑑別研擬相關對策,其內容包括: (一)資通系統應具有身分驗證機制識別及鑑別公司使用者或代 表公司使用者行為之程序之功能,採帳號密碼者,應禁止 使用共用帳號。 (二)身分驗證管理: 1.使用預設密碼登入系統時,應於登入後要求立即變更。 2.身分驗證相關資訊不以明文傳輸。 3.具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次 後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用 公司自建之失敗驗證機制。 4.使用密碼進行驗證時,應強制最低密碼複雜度;強制密 碼最短及最長之效期限制。 5.密碼變更時,至少不可以與前三次使用過之密碼相同。 6.身分驗證機制應防範自動化程式之登入或密碼更換。 7.密碼重設機制除對使用者重新身分確認外應發送一次性 及具有時效性符記Token。 (三)資通系統應遮蔽輸入過程之鑑別資訊如密碼以*取代。 (四)資通系統密碼應經加密或雜湊處理後儲存。 五、會員公司應就營運持續研擬相關對策,其內容包括: (一)系統備份: 1.訂定可容忍資料損失之時間要求。 2.定期執行系統源碼(含原始程式碼、目的程式等)與資 料備份。 3.應在與運作系統不同地點之安全處所,儲存備份資料, 並定期測試備份資料為可用。 (二)系統備援: 1.訂定資通系統從中斷後至重新恢復服務之可容忍時訂間 要求。 2.應規劃適當的備援機制,於原服務中斷時,由備援設備 或其他方式取代並提供服務。 六、會員公司應就系統與服務獲得研擬相關對策,其內容包括: (一)系統發展前,應先依機密性、完整性、可用性評定所需安 全控制措施需求。 (二)系統開發應避免產生具安全弱點之程式碼。 (三)定期執行系統主機作業系統及應用程式執行「弱點掃描」 安全檢測、「滲透測試」安全檢測,並進行漏洞修補。 (四)系統相關軟體元件應進行版本更新與漏洞修補並關閉不必 要服務及埠口。 (五)資通系統不使用預設密碼。 (六)資通系統開發如委外辦理,應將系統發展生命週期各階段 依系統安全等級所需之防護基準納入委外契約。 (七)開發、測試及正式作業環境應為區隔。 (八)應儲存與管理系統發展生命週期之相關文件。 陸、社交工程演練 每年應至少一次針對使用電腦系統人員,於安全監控範圍內,寄發演 練郵件,加強資通安全教育,以期防範惡意程式透過社交方式入侵。 柒、評估單位資格與責任 一、評估單位可委由外部專業機構或由會員公司內部單位進行。如為 外部專業機構,應與提供、維護資安評估標的之機構無利害關係 ,若為內部單位,應獨立於原電腦系統開發與維護等相關單位或 可採用獨立電腦系統(弱點掃描工具、原碼掃描平臺、滲透測試 工具、原碼掃、社交工具平臺、惡意程式或防毒軟體檢測平臺… 等)輔助進行評估。 二、辦理電腦系統資訊安全評估作業之評估單位應具備下列各款資格 條件: (一)參加相關資訊安全管理課程訓練達一定時數並取得教育訓 練合格證明文件者或具備相關證照者。 (二)熟悉金融領域作業流程或具備相關經驗者。 三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包 資料等與本案相關之全部資料,評估單位應簽立保密切結書並提 供適當保護措施,以防止資料外洩。 四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用 等情事。 捌、評估報告 「電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估 範圍、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說 明、具體改善建議及社交演練結果,且應送稽核單位進行缺失改善事 項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存五年。