• 首頁
  • 企業社會責任專區
  • 公司治理
  • 風險管理
  • information_security_and_personal_security
  • 資訊安全

    中國人壽資訊安全管理制度之運作為依照ISO 27001 標準,採用「Plan-Do-Check-Act」(PDCA) 之循環運作模式,建立資訊安全管理制度,並維繫其有效運作與持續改進。經公正第三方之查核,本公司自2016 年首次通過ISO 27001:2013 資訊安全管理系統(ISMS)驗證,迄今持續維持著完善且有效的資訊安全管理制度。

    資訊安全與管理制度

    • 資訊安全專責單位

      本公司成立「資訊安全部」負責擴展資訊安全管理制度施行範圍、建立各部門資訊安全控制作業及自行查核管理架構,以及監督、評量資訊安全內部控制之有效性。在落實維護資訊安全之責任下,規劃資訊安全藍圖,在資訊安全風險管理與公司營運效益中找到最佳平衡點。

      另外,成立「資訊安全委員會」,每年召開二次進行資訊安全工作管理審查,議題包含資訊安全體系運作報告以及各小組報告。

    • 電腦系統資安評估作業

      為確保本公司所提供資訊服務系統具備系統安全防護能力,透過各項資訊安全檢測作業,發現資訊安全的威脅與弱點,藉由相關的技術面與管理面控制措施,以改善並提升資訊安全防護能力。

      中國人壽依照「電腦系統資訊安全評估作業計劃」的資訊安全評估作業,辦理第一類電腦系統資訊安全評估作業之各項資訊安全檢測作業,並提交「電腦系統資訊安全評估報告」,定期追蹤發現事項的矯正及預防措施的情形。透過評估作業,將強化本公司在網路架構與整體資訊作業系統之安全強度,降低本公司內部資訊遭受不當揭露、竄改或竊取之風險。

      在嚴謹的資訊安全管理之下,2018 年無發生任何資訊安全事故相關情事。

    • 資訊安全整體執行情形聲明書

      為符合「保險業內部控制及稽核制度實施辦法」之規範要求,強調本公司經營高層對資訊安全之重視,推動資訊安全整體執行情形評估服務,並出具評估報告,以利本公司經營高層了解目前其合規情形,並出具資訊安全整體執行情形聲明書。

    • 取得國際資安標章(MAS)

      為提升中國人壽所提供之行動應用App 的基本資訊安全防護能力,透過每年進行電腦系統資訊安全評估作業專案,依據行動應用App 基本資安檢測基準執行檢測作業,強化本公司資訊部門開發行動應用App 的資訊安全意識,並逐步完善所提供之行動App 安全防護能力,2018 年iEasy、Keep Going 行動應用程式均取得資安標章(MAS)。

    • 資訊安全演練及教育訓練

      為降低本公司遭遇突發緊急危難或異常事故所可能造成資訊作業中斷之衝擊,並經由演練的方式來驗證所規劃相關應變策略與處理計畫的有效性,以確保資訊作業持續運作。中國人壽全體同仁依規範要求接受資訊安全教育訓練與宣導,加強資訊安全認知。

    • 優化作業

    個人資料保護

    中國人壽除提供符合客戶需求的商品與服務外,在作業流程的各個環節,以謹慎的態度處理客戶之個人資料,確保資料能受到妥善保護,且尊重客戶個人隱私。

    • 個資管理接軌國際

      為展現個人資料保護決心及再強化個人資料保護管理機制,於2017 年已依BS 10012:2017 標準導入個人資料管理制度(PIMS),依據個人資料保護最佳管理實務,並藉由PDCA 之管理模式,將個資保護管理意識逐步融入同仁日常作業中,使其成為組織文化,以提升個人資料暨資訊安全保護管理能力並接軌國際對個資保護管理趨勢,2018 年再次以無缺失通過第三方驗證公司複審。

      另外,因應歐盟一般資料保護規章(General Data Protection Regulation, GDPR) 實施,本公司個人資料保護管理制度已參考GDPR 最新要求完成建置,為持續銜接最新個人資料保護管理要求,亦邀請外部顧問專家、專業律師進行GDPR 法規解析及分享,以利同仁了解個資保護之風險管理最新趨勢。

    • 個人資料保護管理委員會

      為強化個資安全維護機制運作效率,並整合運用個人資料管理制度所需資源,中國人壽成立個人資料保護管理委員會,由總經理擔任召集人,以持續推動、管理、督導本公司個人資料管理制度之有效運作;個人資料保護管理委員會定期每半年召開會議,會議中從個資保護之執行、技術發展、管理制度監督與審查、個資事故管理等議題,向各委員報告本公司個資保護整體運作情形。

    • 個資保護加強措施

      配合「個人資料保護法與施行細則」及「金管會指定非公務機關個人資料檔案安全維護辦法」之要求,並參酌BS 10012 規範,中國人壽導入稽核軌跡集中化管理平台機制,逐步達成下列各項目標:

    • 個資保護教育訓練

      為持續使本公司同仁了解個人資料保護責任及強化其個人資料管理制度維運能力,透過教育訓練使個人資料保護管理認知融入組織文化中,以提高、強化與維持同仁對個人資料保護管理的認知。2018年共計辦理13場次實體課程、1場次數位課程。在落實完善制度及建立正確認知之下,2018 年無發生故意侵犯顧客隱私權或遺失顧客資料相關之個資事故。