• 首頁
  • 永續發展
  • SustainableDevelopment
  • 公司治理
  • InformationSecurity
  • 資訊安全政策

    中國人壽已制定資訊安全政策並建置資訊安全管理系統,以確保資訊資產的機密性、完整性、可用性及資訊作業與服務的合規性為目標,推展資訊安全風險管理。為因應保險業務的拓展與多元性,2021年將資訊安全內部控制作業與相關規範拓展至全公司適用,使各業務單位除了扮演使用者的角色外,也能妥善擔任權責單位與維運單位的角色,進而提升公司整體的資訊安全管理。2016年即通過ISO 27001資訊安全管理系統驗證,並已於2021年重新辦理並通過驗證。

    資訊安全組織

    2015年成立資訊安全委員會,每年召開2次資訊安全委員會,針對資訊安全管理制度執行狀況進行審核,檢討過往資訊安全委員會議案的處理狀態、資訊安全內外部議題、資訊安全管理制度變更,並每年定期檢視資訊安全政策及相關規範、各項工作執行情形,並規劃下一年度各項工作計畫。

    2019年成立資訊安全部作為公司專責資訊安全單位,負責擴展資訊安全管理制度施行範圍,建立各部門資訊安全控制作業及自行查核管理架構,並監督、評量資訊安全內部控制之有效性。另於各部門設立資訊安全人員,將資訊安全管理作業推展至全公司。

    資訊安全對策與作為

    為因應外部多變的攻擊手法並降低遭遇突發緊急危難或異常事故所可能造成資訊作業中斷之衝擊,從制度、組織架構到資安演練等各方面進行萬全準備。

    參與資訊安全聯防

    因應資安情勢之日益嚴峻與情資來源的多元化及金管會推動之「金融資安行動方案」,為利用集團內資源整合及相互支援之運作優勢,中國人壽已加入中華開發金控集團建立之電腦資安事件應變小組,俾利即時掌握及支援集團內成員資安事件之應變處置,降低事件損害;另因重大資安事件往往並非僅影響單一機構,中國人壽已加入由金融監督管理委員會推動之金融資安資訊分享與分析中心 (F-ISAC)資安情資關聯分析平台,透過機構間之聯防機制強化體系風險控管,提升跨機構或跨領域之橫向通報應變與支援協處之運作機制與能力,以降低重大事件之體系災損。

    建立資安監控中心 (Security Operation Center, SOC)

    已建立資安監控中心 (SOC),進行每日24小時 (7x24) 全天候即時監控、偵測與發現資安事件,以提升資安事件監控的能量。並整合中國人壽資安監控平台與相關資安設備、網路設備等設備之日誌,並進行多維度關聯分析,並經由專業的資訊安全日誌事件管理與分析系統並由資安分析人員進行研判與建議,以達到精準的資安事件即時通報與預警之效益。資安事件的即時通報將大幅提升後續追蹤與應變處理的有效性,落實資安事件妥善處理,降低資安事件的危害程度。

    紅藍隊對抗及DDoS演練

    委請外部專家協同進行紅藍隊對抗演練以檢視防禦之有效性及強化事件應變能力。另因政府機關、重要民生服務網站屢屢遭受駭客組織發動分散式阻斷 (Distributed Denial of Service, DDoS)攻擊,導致部份機關網站停擺,為加強DDoS攻擊的防禦及應變能力,於2021年進行真實DDoS攻擊演練,確認網站或重要主機承受DDoS攻擊的耐受度,並確認DDoS攻擊防護方案之有效性。

    取得資安標章 (Mobile Application Security, MAS)

    為提升中國人壽所提供之行動應用 的基本資訊安全防護能力,透過每年進行的電腦系統資訊安全評估作業的專案,依據行動應用App基本資安檢測基準執行檢測作業,將可有效強化開發行動應用App的資訊安全意識,並逐步完善行動App安全防護能力。

    資訊安全教育訓練

    依規範要求同仁接受資訊安全教育訓練與宣導,以加強資訊安全認知。內勤同仁接受3小時教育訓練且經資安試題驗證;資安專責單位同仁則透過自辦教育訓練課程、參與國內外受訓課程、研討會等方式,完成至少15小時教育訓練。2021 年全公司參與資安測驗及通過比率為100%。

    同時,亦針對全體同仁進行社交工程演練,以提升同仁郵件使用之安全習慣及資安意識。2021 年社交工程教育訓練受訓率達100%,演練複測未通過率僅約0.204%,針對複測未通過同仁提供額外之教育訓練及測驗,以確保全體同仁之資安意識一致,亦由部門主管進行管理與輔導。

    資安事件回報及處理機制

    依中國人壽資訊安全事故通報及應變管理辦法進行資訊安全事故之通報、處理與應變,發生資訊安全事故時,應依程序進行分級、通報與應變,並於損害控制或復原作業完成後,由事故處理單位提交「資訊安全事故調查處理及改善報告」,由資訊安全專責單位歸檔保存,以避免類似資訊事故重複發生。2021 年並未發生資安重大事件。

    個人資保護管理制度

    於2017年依BS 10012:2017個人資訊管理系統標準,導入個人資料管理制度 (PIMS),將個資保護管理深化為組織文化。2020年將驗證範圍擴大至所有單位,完成歐盟個人資料保護規則 (General Data Protection Regulation, GDPR)之適用性評估機制之建置,並於2021年通過BS 10012驗證之複審作業。

    已成立個人資料保護管理委員會,由總經理擔任召集人,定期每半年召開會議,向各委員報告個資保護整體運作情形。會議內容包含個資保護之執行、技術發展、管理制度監督與審查、個資事故管理等議題報告,探討國外對個資資訊技術或產品以及對個資相關法律規範之因應,以持續推動、管理、督導個人資料管理制度之有效運作。另外,設有「個資保護查核小組」,為檢視個人資料管理、管理程序與安全控管機制是否依規劃落實執行,該小組30%成員同時具備個人資料管理系統主導稽核員資格。

    個人資料保護教育訓練

    導入BS 10012個人資訊管理系統標準至今,透過不斷檢討與持續優化的理念,強化個資安全維護機制運作效率,並整合運用個人資料管理制度所需資源,請外部顧問協助舉辦57場次模擬受查演練,時數合計119小時,且2021年透過實體與數位課程舉辦18場個資保護相關教育訓練,以提升每位員工的個資保護管理意識。課程完訓率達100%。