歷史條文
法規名稱: | 壽險業辦理資訊安全防護自律規範 |
---|---|
修正日期: | 民國 106 年 12 月 28 日 |
圖表附件: |
第 1 條
中華民國人壽保險商業同業公會(以下簡稱本公會)為督促會員公司資訊
業務與相關資訊資產之安全,發揚自律精神,防範資訊處理作業過程發生
影響資訊及系統機密性、完整性及可用性之安全事件,確保各會員公司資
訊處理作業能安全有效地運作,特訂定本自律規範。
第 2 條
本自律規範用詞定義如下:
一、資訊資產:包含軟體、硬體、環境、文件、通訊、資料、人員等。
二、行動裝置(Mobile device) :亦稱為移動設備、流動裝置或手持裝
置(handheld device) 等,係指一種可攜帶的計算裝置。典型的行
動裝置如智慧型手機、行動電話、攜帶型遊樂器與平板電腦、筆記型
電腦等。
三、員工攜帶自有設備上班 BYOD(Bring Your Own Device):指公司政
策允許員工可以在公司內使用自己的筆電、手機、平板等行動裝置來
連接到公司網路取用資料,或進行公務處理。
第 3 條
各會員公司辦理資訊安全規範除應依據各該公司訂立之資安處理程序及其
應注意事項外,並應符合依本自律規範辦理。
第 4 條
各會員公司辦理資訊安全規範,應至少遵循下列規定:
一、延攬員工時,應依據相關法令、合約、產業文化及業務需求,瞭解該
員之背景、學經歷。
二、應要求所聘任之員工簽署資訊安全保密切結書、雇佣契約、工作手冊
或相當文件,明訂員工應遵守資訊安全保密協定。
三、有委外業務者,應於委外契約中明訂資訊安全保密協定。
四、應透過至少每年、適當之教育訓練或宣導,告知內部員工應遵循之資
訊安全規範。
五、管理階層應督導員工遵循公司既定之資訊安全規範。
六、員工職務異動時,應依既定程序辦理資訊資產退回與存取權限之變更
或取消。
第 5 條
各會員公司應訂定使用行動裝置(含 BYOD) 之相關規範,其內容應至少
包含下列項目:
一、訂定行動裝置管理規範。
二、使用行動裝置使用人員管理規範。
三、使用行動裝置之安全控管規範。
第 6 條
各會員公司應訂定使用社群媒體相關規範,其內容應至少包含下列項目:
一、訂定使用社群媒體管理與監督機制。
二、若屬該公司之社群媒體者,應揭露相關資訊,至少包含下列事項:
(1)公司名稱。
(2)主營業場所地址、通訊連絡方式。
三、制定申訴處理機制。
第 7 條
各會員公司應訂定使用雲端服務(含私有雲)之相關規範,其內容應至少
包含下列項目:
一、訂定雲端服務安全管理規範。
二、訂定雲端服務提供者遴選機制。
三、訂定雲端服務持續營運管理規範。
第 8 條
各會員公司若有建置管理系統及有關個資之資安資料,應建立資安防禦機
制,並依據壽險業辦理電腦系統資訊安全評估作業原則如附件一辦理各項
資訊安全評估作業,以改善並提升網路與資訊系統安全防護能力。
第 9 條
各會員公司若有開發並提供行動裝置應用程式給消費者或員工使用者,應
依據壽險業提供行動裝置應用程式作業原則如附件二建立行動 App 資訊
安全控管機制,以強化行動裝置應用之安全。
第 10 條
各會員公司應訂定設備報廢作業程序,報廢前應將機密性、敏感性資料及
授權軟體予以移除、實施安全性覆寫或實體破壞,應確保報廢之電腦硬碟
及儲存媒體儲存之資料不可還原,並留存報廢紀錄,若委託第三者銷毀時
,應簽訂保密合約。
第 11 條
各會員公司應加強資訊安全事故管理。
各會員公司應依資訊安全事件通報應變作業實施原則,若發生資訊安全事
件時,應儘速回報本公會及主管機關,並採取適當處理措施,以控制資安
事件影響範圍之擴大。
第 12 條
各會員公司應將本自律規範內容,納入內稽內控制度中,並定期辦理查核
。
第 13 條
各會員公司如有違反本自律規範之情事,經查證屬實者且違反情節較輕者
,得先予書面糾正;如情節較重大者,提報經本會理監事會通過後,處以
新台幣伍萬元以上,貳拾萬元以下之罰款;前述處理情形並應於一個月內
報主管機關。
第 14 條
本規範由中華民國人壽保險商業同業公會訂定,經理監事會決議通過報主
管機關備查後施行,修正時亦同。