第四點（資訊作業韌性之參考原則項目） 資訊作業韌性之參考原則項目如下： 一、核心資通系統識別 保險業應視系統規模、架構及依賴程度，訂定範圍及作業流程 ，內容包括： （一）辨識所有核心資通系統之重要性與相依性。 （二）盤點支持系統持續營運所需之重要支援資訊系統。 （三）核心資通系統若建置於國外總公司時，依國外總公司所訂定 資訊安全規範機制為基準，提供相關文件後予以排除豁免， 並僅就本地實務可執行面進行資訊系統評估。 二、最大可容忍中斷時間 保險業進行營運衝擊分析時，應評估核心資通系統中斷所造成 影響及衝擊程度，並依核心業務識別之影響程度劃分最大可容 忍中斷時間，以利評估核心資通系統復原策略，內容包括： （一）依據核心業務識別之業務性質及重要特性，妥善對營運持續 管理之要求訂定核心資通系統可容忍中斷時間。 （二）訂定復原時間目標及資料回復點目標，以作為恢復核心資通 系統之依據。 （三）依據核心業務識別之重要性程度及所仰賴之資源，列出復原 優先順序。 （四）依據保險業之經營策略、營運目標、公司規模及資源等，訂 定適當營運水準目標及災害發生後應回復之可接受的最低服 務水準，以反映公司所願意接受之風險。 三、災害應變運作 保險業應訂定災害應變計劃與程序，以確保核心資通系統能於 災害發生時，可滿足最低營運需求，內容包括： （一）訂定災害適用範圍及啟動應變運作時機。 （二）為因應災害事件發生，保險業應明確定義災害應變組織。災 害應變組織角色應包括但不限於災害事件應變指揮官、系統 營運與協調指揮者、系統處理人員、災害事件調查人員、公 關人員及系統之實務業務操作與客服人員等，並應訂定組織 角色之職責。 （三）訂定應變處理程序，程序應明確且具可操作性，內容包括： 1.災害事件發生之通報管道、通報程序、判斷災害影響程度 、進行通報等。 2.視災害情況，召開災害事件應變處理會議。 3.訂定溝通策略，包括與內外部相關利害關係人溝通策略， 以降低營運中斷之衝擊。 4.進行損害控制（包含跡證保存）。 5.訂定復原程序，包括啟動復原作業的時機與流程，以及復 原所需資源調度之計畫。 6.根據災害事件進行根因分析及依分析結果進行追蹤改善。 （四）定期檢視核心資通系統異地災害備援機制。 四、核心資通系統復原計劃 保險業應針對擬訂之情境／各業務狀況進行演練或實體模擬操 作，以達到演練及測試程序之有效運作。 （一）應落實核心資通系統演練階段所訂定標準作業程序。 （二）辦識風險及災害影響大小應包含但不限外部環境對核心資訊 系統及業務流程運作，當意外發生可以降低對保險業的營運 衝擊。 （三）應進行模擬災害或意外發生時之情境操作。 五、復原能力之實證 保險業應針對核心資通系統中斷可能之情境進行演練或實體模 擬操作，並應確認復原機制是否完善，以確保演練情境測試結 果有效性： （一）核心資通系統復原計畫應每年至少演練一次，以確保復原計 劃之有效性，並使相關人員確實瞭解與熟悉。 （二）演練範圍應納入重要支援資訊系統，演練人員應納入業務單 位及相關人員。 （三）若採異地備援，演練時宜納入實際業務運作，以驗證異地備 援之有效性。 （四）演練結束後，應檢討結果，並據以修正或調整應變處理程序 及復原計畫之內容。 （五）確認復原機制是否符合保險業所訂定的復原時間目標及資料 復原點目標要求。 （六）核心資通系統復原計畫進行演練時，須有記錄過程及演練記 錄，並呈交管理層核可及留存記錄。