各會員公司若有建置可由外部 Internet 直接連線之網際網路應用系統及 核心資訊系統，應定期辦理相關安全性檢測，相關資訊安全說明如下： 一、網際網路應用系統： （一）應至少每季進行一次作業系統之弱點掃描，會員公司依掃描結果應 進行風險評估，評估為高風險以上之弱點應於 2 個月內修補或完 成補償性控制措施，評估為中、低風險應訂定適當措施及完成時間 ，執行矯正、紀錄處理情形並追蹤改善。 （二）新系統或系統功能首次上線前及至少每半年應針對異動程式進行程 式碼掃描或黑箱測試，並針對其掃描或測試結果進行風險評估，及 針對不同風險訂定適當措施及完成時間，執行矯正、記錄處理情形 並追蹤改善；如無異動者則不在此限，但仍應參照「保險業電腦系 統資訊安全評估作業原則」辦理電腦系統分類及評估週期相關作業 。 二、核心資訊系統： （一）應至少每半年進行一次作業系統之弱點掃描，會員公司依掃描結果 應進行風險評估，評估為高風險以上之弱點應於 3 個月內修補或 完成補償性控制措施，評估為中、低風險應訂定適當措施及完成時 間，執行矯正、紀錄處理情形並追蹤改善。 （二）如為開放式系統，新系統或系統功能首次上線前及至少每半年應針 對異動程式進行程式碼掃描或黑箱測試，並針對其掃描或測試結果 進行風險評估，及針對不同風險訂定適當措施及完成時間，執行矯 正、記錄處理情形並追蹤改善；如無異動者則不在此限，但仍應參 照「保險業電腦系統資訊安全評估作業原則」辦理電腦系統分類及 評估週期相關作業。