中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會為督促 會員公司資訊業務與相關資訊資產之安全，發揚自律精神，防範資訊處理 作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，確保 各會員公司資訊處理作業能安全有效地運作，特訂定本自律規範。

本自律規範用詞定義如下： 一、資訊資產：包含軟體、硬體、環境、文件、通訊、資料、人員等。 二、自攜裝置：係指非屬公司資產、透過該裝置以無線或有線通訊方式連 接至會員公司內部網路，存取作業系統或檔案服務。 三、雲端服務：係指服務提供者以租借方式提供個人或企業得承租其網路 、伺服器、儲存空間、基礎設施、資安設備、系統軟體、應用程式、 分析與計算等資源，以達資源共享之服務。

各會員公司辦理資訊安全規範除應依據各該公司訂立之資安處理程序及其 應注意事項外，並應符合依本自律規範辦理。

各會員公司辦理資訊安全規範，應至少遵循下列規定： 一、應要求所聘任之員工簽署資訊安全保密切結書、雇佣契約、工作手冊 ，明訂員工應遵守資訊安全保密協定。 二、有委外業務者，應於委外契約中明訂資訊安全保密協定。 三、應透過每年定期、適當之教育訓練或宣導，告知內部員工應遵循之資 訊安全規範。 四、管理階層應督導員工遵循公司既定之資訊安全規範。 五、員工職務異動時，應依既定程序辦理資訊資產退回與存取權限之變更 或取消。

各會員公司應視資訊系統規模與架構，訂定核心資訊系統之範圍與相關作 業規範： 一、核心資訊系統應包括但不限於核保出單、保全（批改）、理賠、保費 系統。 二、訂定核心資訊系統開發及程式修改作業程序。 三、訂定核心資訊系統置換作業程序，其至少應包括成本效益分析、風險 評估、需求分析、設計規劃、功能測試驗證（含完整性、正確性與穩 定性）、轉換決策評估及平行測試等項目。

各會員公司若有建置管理系統及有關個資之資安資料，應建立資安防禦機 制，並依據保險業辦理電腦系統資訊安全評估作業原則（如附件一）辦理 各項資訊安全評估作業，以改善並提升網路與資訊系統安全防護能力。

各會員公司若有開發並提供行動裝置應用程式，應依據保險業提供行動裝 置應用程式作業原則（如附件二）辦理，以確保行動應用程式（App ）安 全防護能力，並保障消費者權益。

各會員公司若有運用新興科技（包含雲端服務、社群媒體、生物特徵資料 及自攜裝置等），需依據保險業運用新興科技作業原則（如附件三）辦理 ，以建立完善之控管機制，降低新興科技之運用風險。

各會員公司若有運用物聯網設備，需依據保險業物聯網設備作業準則（如 附件四）辦理，以強化物聯網設備之安全。

各會員公司若有辦理電子商務，需依據保險業經營電子商務自律規範及保 險業網路投保註冊會員密碼之設計安全作業準則（如附件五）辦理，以確 保電子商務之資訊安全，降低遭破解之風險。

各會員公司應訂定設備報廢作業程序，報廢前應將機密性、敏感性資料及 授權軟體予以移除、實施安全性覆寫或實體破壞，應確保報廢之電腦硬碟 及儲存媒體儲存之資料不可還原，並留存報廢紀錄，若委託第三者銷毀時 ，應簽訂保密合約。

各會員公司於非公司職場實施異地辦公或遠端工作時，應評估相關作業風 險，以強化遠端作業之安全： 一、針對營運環境調整、資料傳輸及加密機制、機敏資料防護、稽核軌跡 留存、異常行為監控及對外遠端存取設備進行評估及強化，系統及設 備如有重大漏洞應立即處理及因應，降低業務運作風險，確保整體保 險系統穩定及安全。 二、針對使用之視訊會議系統、VPN 及 VDI 等設備，應訂定相關使用規 範並落實各項安全管控作業。

各會員公司應加強資訊安全事故管理。 各會員公司應依資訊安全事件通報應變作業實施原則，若發生資訊安全事 件時，應儘速回報各所屬公會及主管機關，並採取適當處理措施，以控制 資安事件影響範圍之擴大。

各會員公司應將本自律規範內容，納入內稽內控制度中，並定期辦理查核 。

各會員公司如有違反本自律規範之情事，經查證屬實者且違反情節較輕者 ，得先予書面糾正；如情節較重大者，提報經各所屬公會理事會通過後， 處以新台幣伍萬元以上，貳拾萬元以下之罰款；前述處理情形並應於一個 月內報主管機關。

本規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同業公 會共同訂定，經各該公會理事會決議通過報主管機關備查後施行，修正時 亦同。