保險業對於電腦網路設備安全之防護，應符合下列條件： 一、所有電腦網路設備應安置於安全地點。 二、安置電腦網路設備之地點應加裝不斷電系統或備用發電機，並依法令 規定設置必要及合格之消防安全設施。 三、安置電腦網路設備之地點應建立安全維護及人員進出之控管機制。

保險業簽發電子保單及辦理電子化保險契約條款者，應就網路管理之緊急 事故應變與災害復原處理訂定下列程序： 一、緊急事故通報程序。 二、緊急事故應變程序。 三、災害復原程序。 四、測試程序。

為確保電子保單及電子化保險契約條款資訊安全，保險業應訂定網路安全 規劃與管理作業，以達成整體網路作業之安全管理。 前項網路安全規劃與管理作業應包括下列項目： 一、網路安全政策。 二、網路安全服務管理。 三、網路安全連結。 四、主機設備安全防護。 五、身分識別和驗證。 六、網域劃分與安全控制。 七、防火牆安全管理。 八、遠端連線控制。 九、網路安全監控。 十、監控處理程序。 十一、事件安全記錄。 十二、入侵偵測檢視。 十三、防範電腦病毒及惡意軟體之攻擊。

保險業應依下列原則管理負責電子保單及電子化保險契約條款作業之人員 ： 一、就資訊系統與人員之管理及權責分工訂定相關作業辦法，並與員工簽 署書面約定及定期宣導，以提醒員工注意。 二、訂定人員違反資訊安全規定之處理程序，並明訂處理電子保單及電子 化保險契約條款相關交易資料之授權處理層級。 三、作業人員應定期接受有關資訊安全之訓練，並作成紀錄。

保險業處理電子保單及電子化保險契約條款保單業務，如有依據保險業作 業委託他人處理應注意事項辦理時，除依據第七條規定辦理外，應遵循下 列原則： 一、事先研擬委外服務計畫書。 二、慎選具有足夠安全管理能力及經驗之廠商作為委辦對象。 三、事前審慎評估可能潛在之各項風險。 四、與委外廠商簽訂適當的資訊安全協定及課予相關安全管理責任，並納 入契約條款。 五、逐年檢討評估委外廠商之履約情形，如有未履行或未達約定之服務水 準者，應要求檢討改進，必要時得終止部分或全部契約，並依法追究 其責任。

保險業之電子保單及電子化保險契約條款安全稽核，應至少包含下列項目 ： 一、是否留有足供安全稽核之記錄資訊。 二、是否已建立防範不法入侵之機制。 三、是否已建立安全修復機制。 四、是否有定期更新修補程式。 五、是否已建立警示系統，對於安全違例事件的發生能立即採取有效防範 措施。