保險業應設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利 益衝突之業務，並配置適當人力資源及設備。但主管機關對保險合作社另 有規定者，依其規定。 保險業前一年度經會計師查核簽證之資產總額達新臺幣三千億元，或前一 年度網路投保保費收入達新臺幣五億元者，應指派副總經理以上或職責相 當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務，且應設 置獨立行使職權之資訊安全專責單位，並指派協理以上或職責相當之人擔 任資訊安全專責單位主管。 保險業資訊安全長每年應向董（理）事會報告前一年度資訊安全整體執行 情形，並及時報告重大資安問題。 保險業資訊安全專責單位每年應將前一年度資訊安全整體執行情形，由資 訊安全長（無資訊安全長者，由資訊安全專責單位主管）與第二十五條第 一項人員聯名出具內部控制制度聲明書，提報董（理）事會通過。 保險業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專 業課程訓練或職能訓練；其他資訊從業人員則每年至少應接受六小時以上 資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、商品開發 管理單位、資金運用單位、資產保管單位及其他管理單位之人員，每年至 少須接受三小時以上資訊安全宣導課程。 適用第二項規定之保險業，應於符合適用條件起六個月內調整。