• 首頁
  • 企業社會責任專區
  • 保戶責任
  • information-security
  • 中國人壽十分重視資訊安全防護,由資訊部門全面導入資訊安全管理制度,並符合ISO 27001之國際標準,同時選擇資訊基礎建設與關鍵系統之營運管理為範圍,通過ISO 27001:2013標準認證。透過提升資訊安全的控管與保護,以達成業務持續營運,提供不中斷的服務,同時保護個人資料安全,避免客戶遭受損失或妨礙客戶權益。

    資訊安全架構

    中國人壽於2016年逐步增修資訊安全制度文件約70份,作為資訊安全政策、規範、控制及程序各方面遵循的依據,同時依照ISO 27001標準,採用「Plan-Do-Check-Act(PDCA)」之循環運作模式,建立資訊安全管理制度,並維繫資安議題處理、風險評鑑、資安查核與量測等業務能有效運作與持續改進。

    資訊安全委員會

    為了維繫資訊安全管理制度的運行並確保資訊安全管理成效,中國人壽「資訊安全委員會」負責管理並審查各項資訊安全管理作業,自2016年起定期召開資訊安全委員會會議,2016年度已審查包括「DDoS攻擊防範與因應」、「升級安全傳輸加密服務」、「導入ISMS之管制區域範圍」、「立即阻擋含個資之外寄電子郵件」、「DDoS攻擊演練」等資安議題與風險處理、資安查核及資安指標量測等資安作業結果。

    個人資料安全全面升級

    中國人壽除提供符合保戶需求的商品與服務外,在作業流程的各個環節,以謹慎的態度處理保戶之個人資料,確保資料能受到妥善保護,且尊重保戶個人隱私。

    全面配合法令規範

    因應《個人資料保護法》及《金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法》,中國人壽於2013年特別訂定《中國人壽保險股份有限公司個人資料檔案安全維護計畫及業務終止後個人資料處理方法》,除配合法令修正適時調整外,亦要求各個資管理部門訂定《個人資料檔案安全維護計畫及業務終止後個人資料處理方法細部規則》,以落實個人資料定期盤點及自行查核作業等,要求每位同仁遵循公司及主管機關的個人資料保護目標,依法蒐集、處理及利用個人資料,並作為業務及內勤人員日常操作的依據,為保戶的隱私及公司的資產把關。

    自主驗證國際標準

    中國人壽為展現個人資料保護決心及再強化個人資料保護管理機制,以資訊安全管理制度為基礎,於2016年依BS 10012:2009標準導入個人資料管理制度(PIMS),本公司PIMS導入係以保戶個人資料蒐集、處理、利用之完整作業流程進行考量,因此導入範圍涵蓋程度相當完整,包含總公司各部門、各分公司及兩通訊處,且本公司是第一間將PIMS管理制度導入通訊處之壽險公司,希冀藉由資訊安全及個資保護最佳管理實務,協助本公司建置符合國際標準之個人資料暨資訊安全保護管理機制,並預計於2017年底前通過BS 10012:2009驗證。

    強化個人資料保護管理能力

    為強化個資安全維護機制運作效率,並整合運用個人資料管理制度所需資源,中國人壽於2016年下半年成立個人資料保護管理委員會,由總經理擔任召集人,以持續推動、管理、督導本公司個人資料管理制度之有效運作;個人資料保護管理委員會定期每半年召開會議,會議中從個資保護之執行、技術發展、管理制度監督與審查、個資事故管理等議題,向各委員報告本公司個資保護整體運作情形。

    個資保護首要任務為「明確識別及界定組織個人資料範圍」,因此,中國人壽於2016年導入顧問公司「個資盤點方法論」,以系統化、結構化方式重新盤點本公司各業務單位作業流程以界定個資範圍及其涉及個人資料蒐集、處理、利用之流程,作為中國人壽個資保護管理機制設計之依據。再以「APEC隱私權保護九大原則」為架構,輔以BS 10012及ISO 27001對個資保護及資訊安全管控要求,執行隱私衝擊分析(Privacy Impact Analysis, PIA),以全面檢視本公司個資保護能力,並以風險基礎法,透過風險評鑑衡量可能產生的個人資料風險,強化本公司對個資保護之公司治理能力,2016年無發生故意侵犯顧客隱私權或遺失顧客資料相關之個資事故。

    資訊安全與個資保護教育訓練

    中國人壽為了提升同仁對於資訊安全的認知與能力,2016年舉辦超過10場資安教育訓練,包括一場全公司同仁參與之E-Learning,除了宣導資訊安全須知外,亦加強個資保護相關知識與要求,並對於勒索軟體、社交工程等影響個資之資安攻擊手法亦加強認知與防範相關訓練;同時選派多位同仁接受ISO 27001標準教育訓練並取得Lead Audit資格。

    為持續使本公司同仁瞭解個人資料保護責任及強化其個人資料管理制度維運能力,透過教育訓練使個人資料保護管理認知融入組織文化中,以提高、強化與維持同仁對個人資料保護管理的認知,於2016年已舉辦10堂共23場次個資保護相關教育訓練。

    中國人壽高度重視個人資料之保護,不論是保戶、員工或合作對象的個人資料,都要求人員嚴加保護,並恪遵「個人資料保護法」等規範。法令遵循單位於2016年共舉辦了17場有關個人資料保護相關法令之法治教育訓練及宣導;外勤部分,則由業務訓練單位定期對全體業務員進行個人資料保護法令之相關培訓,以確保公司全體人員對個人資料保護之落實。