安全管控機制 各會員公司應訂定相關資訊安全控管程序，且依下列規範辦理。所訂資安 控管程序並應納入公司內部控制及內部稽核項目，以落實資安程序，確保 系統安全。 一、使用者規範 （一）各會員公司應依工作性質配賦查詢人員查詢權限，並須經其權責主 管同意後，提出查詢帳號申請始得執行查詢作業。 （二）授權查詢人員應負責保護查詢帳號密碼之安全，不得將查詢帳號密 碼交付他人使用，違者會員公司應依其工作規則依情節輕重懲處。 （三）查詢人員應避免將帳號及密碼記錄在書面上，或其他容易洩漏秘密 之場所或物品，當有跡象顯示密碼有遭破解或外洩之虞時，應立即 更改密碼。 （四）各會員公司應配合公會建立查詢人員密碼定期更換機制，密碼更換 週期最長以不超過三個月為限。 （五）查詢人員執行人工單筆查詢時，應於查詢作業完成後立即登出通報 系統，以避免非授權人員非法取得保戶資料。 （六）執行人工單筆查詢、程式單筆查詢或批次查詢時，其電腦程式應設 定所下載之保戶資料以執行對該要保申請所需之核保、理賠審查作 業為限，所下載之原始保戶電子資料應於核保或理賠審查作業完成 後六個月內銷毀，如需列印並以核保或理賠所需審查輔助之工作底 稿為限，其列印之工作底稿並應與要保文件（或理賠文件）一併妥 善存檔。 （七）執行第（六）款所述查詢作業之列印工作時，其列印所需之印表機 應以專機專用為原則，以避免客戶資料外洩之風險。 （八）各會員公司應建立查詢人員異動（包括離職、退休或調動）立即收 回查詢權限之機制，包括有權執行程式單筆查詢與批次查詢之人員 異動，亦應比照辦理。 （九）各會員公司應指定專責人員至少每半年檢視員工作業權限，並考量 是否需重新調整查詢人員。 二、資訊系統安全管理規範 （一）凡涉及第三條規範之查詢作業，各會員公司與通報系統連線時應使 用固定 IP，並以此 IP 為限，IP 更換時應向所屬公會申請變更 ，另應採用身分資料加密、身分鑑別，以及防火牆等措施，以防止 資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。 （二）各會員公司應建立資訊安全稽核制度，定期或不定期進行資訊安全 稽核作業。 （三）為防止電腦病毒及惡意軟體之入侵，各會員公司應採行必要的事前 預防及保護措施，加裝電腦病毒防制軟體，並定期更新。 （四）各會員公司如有以電腦系統執行程式單筆查詢或批次查詢時，其程 式應具備記錄並保存每一筆查詢作業之查詢人員與查詢起迄時間之 功能，俾必要時得以追蹤並釐清所查詢下載保戶資料之使用者責任 。