《保險業辦理資訊安全防護自律規範修正總說明（113.07.18 修正）》

為因應金融機構資訊安全防護需求面向及強度逐年提升，並配合金融監督管理委員會
「金融資安行動方案 2.0」等政策，爰依主管機關及保險公司之意見修正本自律規範
，其修正要點如次：
一、有鑑於辦理資訊安全「作業」一詞，較貼近各會員公司辦理資訊安全相關業務用
    語（修正條文第 3  條、第 4  條第 1  項）。
二、會員公司應每年檢討資訊作業相關規範，並明訂識別資訊資產及人員分工牽制之
    角色，爰參酌「金融機構資通安全防護基準」第 3  條之規範內容修正相關條文
    （修正條文第 4  條第 1  項第 6  至 8  款）。
三、為訂定營運環境管理人員規範，以確保依最小權限及僅知原則配發權限予人員使
    用，爰參酌「金融機構資通安全防護基準」第 4  條之規範內容及保險業資訊作
    業現況增訂相關條文（新增條文第 4  條之 1）。
四、全資訊系統均應視其規模與架構，訂定資訊系統之範圍與相關作業規範。另考量
    同屬第一類電腦系統之遠距投保、行動服務、電子商務資訊系統，其等置換作業
    程序應比照核心資訊系統，爰修正相關條文（修正條文第 5  條第 1  項第 2、
    3 款）。
五、有鑑於產、壽險公司均已採電腦化作業，原條文所定「若有建置管理系統及有關
    個資之資安資料」等語已屬贅文，爰予刪除（修正條文第 6  條）。
六、會員公司如發生重大資通安全事件，應遵循「保險業通報重大偶發事件之範圍申
    報程序及其他應遵循事項」辦理，爰修正相關條文，以資明確（修正條文第 13
    條）。
七、為將系統事件日誌紀錄保留機制之適用系統，擴大為全資訊系統；並增訂第一、
    二類電腦系統日誌紀錄送至原系統外之其他系統進行集中管理之相關規定；且為
    確保可對資安事件迅速回應，乃增訂日誌異常分析告警機制（修正條文第 17 條
    ）。