目前保險業，可透過開放性電腦網路（網際網路）辦理保險業務，辦理之 業務項目包括提供客戶辦理投保、查詢、申請作業、傳檔作業等服務。由 於網際網路無遠弗屆的發展，透過電腦網際網路提供保險業務服務，讓客 戶可在全球各地經由網際網路使用保險業電子商務交易，使交易更有效率 、更便利，亦有成本降低之優點，進而提昇保險業之競爭力，故未來保險 業電子商務業務將可望持續發展。 本參考查核項目係為一般保險業電子商務業務之查核所編撰，供檢查保險 業電子商務業務經營決策、管理、操作及內部稽核等之參考，檢查人員於 實地檢查時，應衡酌受檢單位保險業電子商務業務範圍、性質及風險，依 實際情況需要，決定查核範圍、重點及查核項目。 壹、董事會與專責管理階層之監督管理 保險業辦理電子商務業務前，應當瞭解電子商務所帶來之風險，若決 策未經衡量而採取不適當之措施及不符合保險業營運目標及營運範圍 ，將導致對目前或未來之資本或盈餘產生衝擊之風險，及易有經營上 之風險，董事會應確認保險公司所辦理之各項業務是否符合其經營策 略、目標及是否符合穩健經營原則，保險業辦理電子商務業務應擬具 業務計畫，報經董事會審議通過後執行，專責管理階層應負責執行董 事會核定之經營策略及政策，為瞭解董事會對業務部門之監督與管理 ，及專責管理階層之執行狀況，應調閱董事會會議記錄及相關計畫書 與報告，以查核下列事項 一、董事會部分 （一）保險業辦理電子商務業務，是否研擬詳細計畫（包括交易流程與作 業要點、營運效益評估、風險評估與管理等）報經董（理）事會審 議（外國保險公司在台分公司為董事會授權人員）？ （二）保險業辦理電子商務業務，是否詳予分析各類風險並依業務性質訂 定各種交易風險承擔限額，提報董（理）事會審議（外國保險公司 在台分公司為董事會授權人員）？ 二、專責管理階層部分 （一）保險業辦理電子商務業務，專責管理階層是否督導業務部門研析各 類風險（如信用、交易風險等），對需控管之風險，是否由專責管 理階層督導業務部門建置風險控管程序？ （二）保險業專責管理階層，是否對發現有疑似保險犯罪情事時向董（理 ）事會報告（外國保險公司在台分公司為董事會授權人員）？ 貳、風險管理 保險業辦理電子商務業務，係透過網際網路提供客戶有關保險業務之 服務，除提供服務之通路不同外，其業務性質與一般保險業務相同， 亦須面臨風險控管之挑戰，對辦理保險業電子商務業務所帶來之風險 ，若未採取適當之管理措施，易導致風險已造成而仍渾然不知，或常 發生不可預期之突發狀況對保險公司之資本或盈餘產生不利之衝擊。 依「保險業經營電子商務自律規範」規定，應承擔交易風險之責任， 並建立電子交易風險內部管控機制。 為評估保險業電子商務業務之風險管理，調閱辦理保險業電子商務之 計畫書及管理規範或作業規範，及保險業電子商務業務系統發展（自 行或委外）之相關文件（如系統開發文件、系統流程、交易流程）， 以瞭解風險管理情形 一、保險業是否有對辦理電子商務業務所可能發生之風險進行分析？是否 訂有管理風險之控管程序與相關規範，並提報董（理）事會審議通過 （外國保險公司在台分公司為董事會授權人員）？ 二、有關風險分析、管理或監控等項工作之分派與執行，是否符合分工牽 制（制衡）原則？ 三、保險業是否依所訂之風險控管程序及規範確實執行？ 四、保險業於辦理電子商務業務過程中，如有業務推展需要或遇環境之變 化（如保險環境改變、網路技術提昇重購軟硬體系統，或網路入侵等 情況之發生）是否能依業務需要檢討修正其風險管理相關程序與規範 ？ 五、保險業是否依業務性質及風險大小，訂定相關交易限額，以控管交易 風險？ 六、對透過網際網路之交易，保險業是否依「保險業電子商務紀錄保存、 內部安全控制作業管理自律規範」，參酌相關之安控標準適時更新所 使用之安全及憑證技術，以保持或提升交易安全等級？ 參、相關法律、規章之遵守 保險業若未依規向主管機關申請或未經核准（或核備）即辦理相關之 電子商務業務，不僅會受主管機關之核罰，保險業辦理電子商務業務 ，若未遵守公平交易法、消費者保護法及電腦處理個人資料保護法等 相關法令，即可能因違反相關法令受罰而致信譽受損及損失客戶之權 益，保險業辦理電子商務業務，除其業務之交易面及管理面之安全需 求及安全設計應遵守「保險業經營電子商務自律規範」、「保險業電 子商務紀錄保存、內部安全控制作業管理自律規範」，及與客戶所訂 契約應符合「保險業電子商務保險服務契約範本」之規範外，其他保 險業務相關法規亦應一併遵守，主要查核項目如下： 一、調閱保險業辦理電子商務交易種類、作業流程資料及與客戶之契約文 件，以查核 （一）保險業辦理各項電子商務業務，是否均已依規向主管機關提出申請 ，並經主管機關核准（或核備）後辦理？ （二）保險業各項電子商務業務，是否依「保險業經營電子商務自律規範 」、「保險業電子商務紀錄保存、內部安全控制作業管理自律規範 」及主管機關「保險業電子商務保險服務契約範本」之規範辦理？ （三）保險業辦理電子商務業務，是否符合公平交易法、消費者保護法及 電腦處理個人資料保護法之規定？若有涉及違反規定之情事，應即 送請相關主管機關處理。 二、若有發生舞弊等重大偶發事件，是否依金融機構發生重大偶發事件通 報規定辦理？ 肆、作業安全控管設計 保險業電子商務為透過各種電子設備及通訊設備（如網際網路設備） 與電腦軟體系統，提供客戶各項金融服務及進行交易之業務，保險業 必須設計符合業務需要之安全控管機制，以確保交易與系統之安全 一、實體安全與系統、程式變更管理 （一）調閱資訊單位軟硬體架構圖（Configuration）、資訊作業規範及 軟硬體建置變更文件，以查核 1.對保險業電子商務之網路伺服器、防火牆及其他相關設備（如數 據機、channel） 是否訂有安全管制措施，以防止未經授權者進 入相關設備？ （1）網路伺服器、防火牆，數據機是否裝置於獨立安全及進出有管 制之場所？ （2）進出上開場所，是否有門禁管制措施？ 2.有關保險業電子商務系統（系統軟體、應用軟體、網頁）之建置 或變更（由廠商處理或保險業自行處理），是否有控管程序（申 請及核准程序）並留存相關之系統建置或變更記錄資料？ （二）為防範保險業網域名稱遭未經授權而被變更，保險業是否與網域註 冊公司，建立對任何變更須經確認及授權之控管程序？ （三）有關對網站遭仿冒（即假網站）或網頁遭竄改之防範，保險業是否 訂有防制措施？ （四）保險業對電子商務業務所使用之主要軟體程式、系統（如防火牆軟 體等），是否有建置下列安全機制： 1.是否在採用前諮詢相關單位（如台灣網路危機處理中心等）或查 詢相關資訊，以瞭解所採用之軟體程式、系統可能遭入侵之漏洞 ，或知曉已遭入侵之破綻，並已補強改善？ 2.對已採用之軟體程式、系統，是否有規範並建置搜集相關資訊（ 如軟體缺陷、遭入侵情事等）機制？對相關資訊是否有因應或補 強改善措施？ （五）對主要伺服器及防火牆之各項重要檔案是否有適當之備援並異地存 放，以提昇系統之可用性？ （六）保險業對客戶資料之安全保護措施，是否依主管機關「保險業個人 資料檔案安全維護計畫標準」之規範，訂定個人資料檔案安全維護 計畫，並確實執行？ 二、使用者代號、權限管理 調閱有關保險業電子商務業務交易安全規範及防火牆伺服機、網路交 易伺服器等作業系統及應用系統名稱清單，與使用者代號及權限申請 文件等資料，以查核 1.有關保險業電子商務業務系統之密碼維護管理，是否有設計安全 管制措施？ 2.系統中之使用者代號，是否有經申請並經主管核准之記錄？ 3.系統中是否有久未使用之使用者代號？ 4.使用者權限之設定，是否妥適，無權限過多或過大情形？ 5.使用者代號、密碼，是否有由多人共同擁有，致無法釐清及確定 責任歸屬之情形？ 三、連外作業安全管理 （一）調閱保險業電子商務業務系統，有關之作業流程圖、系統功能架構 圖，以查核 1.保險業電子商務業務系統，對外連結是否有透過防火牆？ 2.保險業電子商務業務與外界之通訊方式為何？（如利用數據機撥 接方式或透過網際網路方式或兩者皆有），若有利用數據機撥接 方式對外連接，是否有控管措施？ （二）調閱有關購買（或租購）防火牆合約及異常記錄單（簿），以查核 1.防火牆之進出規則，是否採正面表列策略設定（即先全面限制進 出防火牆，再逐項開放可進出之對象、條件之管理策略）？規則 之設定是否由保險業自行設定，而非由廠商或第三者設定？規則 之設定及變更是否有經主管核准及相關人員之覆核並留有書面及 系統面之稽核軌跡？ 2.防火牆之設定值，保險業相關人員是否清楚其功能？ 3.有關防火牆架構、系統文件及相關設定資料，是否予以管制，禁 止非授權者接觸？ 4.若有防火牆之異常進出情形（如不正常之簽入訊息），保險業之 系統是否能留存記錄（LOG） ，並有相對之警示訊息，以提醒相 關人員注意？ 5.保險業對進出防火牆情形之系統記錄（LOG） ，是否定期由專人 審閱？如發現異常情形，是否立即查明原因並研擬因應措施？ （三）調閱有關購買（租購）網路偵測軟體契約及異常記錄資料，以查核 1.保險業是否有購買（租購）網路偵測軟體？以監控由網際網路進 出保險業防火牆、內部電腦資訊系統之訊息資料是否有異常現象 ？ 2.保險業裝置之網路偵測軟體，對網路入侵等異常情形，是否具偵 側、警示及留存記錄之功能，並指定專人監看？ 3.在網路上若有嚐試進入保險業系統情形發生，保險業是否能偵測 並知曉嚐試情形、次數？ 4.保險業在網路上偵測到或發現有異常情形（如遭入侵破壞、阻絕 服務等），是否建立對內及對外（如通報金融監督管理委員會或 法務部調查局）通報機制？ 5.保險業對網路監控技術是否定期或視情況需要（如安全機制或軟 硬體系統之變更，或網路入侵等情況之發生）檢討改進？ 6.保險業電子商務若有委外處理弱點偵測作業，其偵測內容是否妥 適？偵測出之弱點結果是否追蹤改善？ （四）調閱廠商維修記錄，以查核 1.如保險業提供廠商可透過連線進行維修，是否有控管措施？ 2.保險業是否能夠監控廠商進行連線維修，以防止有不尋常之活動 ？ 四、數位簽章、認證及交易安全管理 （一）保險業對電子商務有關交易面之安全需求（如訊息隱密性、訊息完 整性、訊息來源辨識、不可重複性、無法否認傳送及接收訊息等） ，是否有依「保險業電子商務保險服務契約範本」有關規定辦理？ （二）保險業電子商務客戶執行風險交易是否有使用數位簽章？其使用之 金鑰是否由客戶自行產生？若產生金鑰之軟體由保險業或其他第三 人提供，有關對軟體之提供、啟用、維護及更新作業，是否有安全 控管措施？ （三）調閱數位簽章申請書及認證作業規範文件，以評估認證（CA）機制 ，是否妥適？認證作業及金鑰之管理與控制程序是否妥適？ 1.有關憑證之申請、核發及各項相關之作業（如憑證之註銷、中止 等作業），是否皆訂有規範及作業程序？ 2.對如何確認申請人身分，是否有明訂確認之程序，以防止冒名申 請？ 3.有關金鑰之長度是否符合「保險業電子商務紀錄保存、內部安全 控制作業管理自律規範」之規定？ 4.對金鑰及認證資料與檔案目錄，是否有安全保護措施： （1）金鑰之產生，是否有確保其隱密性措施？ （2）是否有限制可存取之人員？。 （3）人員存取資料，系統是否有留下稽核軌跡？ （4）對金鑰及認證資料之存取之妥適性，是否有列入稽核單位之稽 核程序或項目？ （四）認證系統是否建置於獨立之主機或伺服器上？若否，認證系統與其 他系統間，是否有規範加以區隔，及其區隔方式（如軟硬體系統之 區隔、人員之區隔）？相關人員之權限是否符合內部牽制原則？ 五、電腦病毒防範 調閱有關購買（或租購）防毒軟體合約及硬體架構圖，以查核 1.保險業是否有規範防毒策略（如使用防毒軟體）？ 2.保險業之防火牆及 Web 主機、電子商務帳務伺服器等是否有裝 置防毒軟體？ 3.保險業所購買（租購）之防毒軟體，是否有提供偵測及防範病毒 功能？病毒偵測範圍是否有包括網路下載軟體（資料）之病毒偵 測功能？是否定期或適時更新病毒碼？ 伍、作業控制 操作及管理規範訂定不完整，業務或作業處理上易產生疏失或遺漏， 為能確認保險業對辦理電子商務業務從客戶之申請至中止作業，及保 險業所提供各項之服務作業，能正確執行及有效運作，應調閱相關作 業規章及規章研定會議記錄與各項管理報表，以瞭解保險電子商務作 業控制狀況， 一、保險業辦理電子商務業務，就業務管理面之安全設計，是否符合「保 險業經營電子商務自律規範」之規定？ 二、保險業各項電子商務業務之作業是否符合內部牽制？作業及管理規範 訂定之過程稽核單位是否參與討論？抽核保險業是否依照所訂規範執 行相關業務？ 三、保險業對電子商務業務各連接點間（如防火牆、電子商務伺服器主機 、電子商務帳務伺服器主機等）之訊息轉出入，是否有訂定控管措施 ？ 陸、與客戶、委外廠商或其他第三者之關係 保險業與客戶、委外廠商或其他第三者之合約內容不明確或不完備， 可能造成雙方權責有爭議，或造成保險業權益上的損失，合約內容應 明確或完備，以有效保護保險業權益。 一、是否明訂與客戶、委外廠商或其他第三者，如憑證機構、結算機構、 清算機構、商家、供應廠商等之權利義務關係契約？ 二、對外訂定之契約內容，是否視情況需要，涵蓋訂約雙方在業務與資訊 、通訊技術等層面有關安全及資訊隱密性維護等方面之權責，包括發 生問題時，責任之認定，及造成損失時，賠償責任之歸屬等？ 三、辦理保險業電子商務業務，對與憑證機構、客戶及其他第三者所訂契 約中，相互關聯部分，是否綜合考量，俾求內容周延且相互一致？ 四、對保險業將系統之開發、維護或操作委外處理，調閱保險業內部稽核 報告，查核內部稽核作業是否切實依照「保險業電子商務紀錄保存、 內部安全控制作業管理自律規範」等相關規定辦理，並留存完整內部 稽核紀錄？ 五、是否由有關單位，如法務、資訊、業務等有關單位人員參與契約內容 之訂定或檢討，俾確保內容之周延及妥適性？ 柒、業務之復原及災變應變計畫 保險業須建立提高系統可靠性之措施，以避免或減輕因電腦系統之故 障或不可預測之災變而中斷電子商務業務，所造成對營運之衝擊，為 瞭解保險業建置情形，調閱故障復原程序及災變應變計劃書及演練記 錄等文件，以查核 一、保險業之災變應變計劃書，是否已針對電子商務業務無法運作時，對 保險業營運之衝擊影響進行評估並研擬因應措施？ 二、保險業是否定期舉行業務之復原及災害緊急應變之測試演練？並是否 檢討修定故障復原與災變應變計畫書？ 三、保險業對系統故障或災害引起電子商務業務無法運作，所引發之法律 責任，是否列為因應措施之一環？ 捌、客戶端之服務 網際網路無遠弗屆，網路空間詭譎多變，未明確告知客戶相關之權利 義務，及配合事項，可能會造成客戶之不便，或與客戶產生爭議者， 若無法得知保險業電子商務之服務範圍或操作方式，可能會造成操作 上的不便，或因操作上的錯誤而造成損失，保險業應提供客戶網路安 全空間，以進行保險電子商務交易，為了解保險業辦理情形，調閱各 項宣傳廣告資料或客戶契約並上網瀏覽以查核 一、是否提供客戶端操作說明，此操作說明是否正確、清楚？ 二、保險業對有關電子商務業務客戶之權益或義務（如隱密性、資訊安全 性及客戶對密碼之設定及管理等應注意與配合事項），是否有以書面 （如於客戶契約中明示）或其他適當之方式（如於網站顯示）告知？ 三、保險業是否有提供（告知）電子商務客戶，如何判斷及正確連上保險 公司網站之資料訊息？ 玖、內部稽核辦理情形 內部稽核之目的，主要為查核、評估保險業之內部控制制度之運作及 衡量營運效率，及能適時提出改善意見，確保保險業之內部控制制度 能持續有效實施，為瞭解內部稽核執行情形，調閱稽核手冊、檢查計 劃及內部稽核報告，主要查核項目有： 一、保險業是否已訂定電子商務業務內部稽核及自行查核作業規範，以供 辦理內部稽核及自行查核遵循？ 二、保險業對電子商務業務內部稽核作業規範內容是否配合業務推展需要 定期檢討修正？ 三、保險業是否確依內部稽核作業規範辦理內部稽核？其範圍是否妥適（ 如保險業電子商務各項業務、廠商管理及各項安控規範之遵循等）？ 四、保險業辦理電子商務內部稽核所發現缺失事項，是否均送請相關單位 辦理改善？並追蹤其改善情形？