中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會為督促 會員公司資訊業務與相關資訊資產之安全，發揚自律精神，防範資訊處理 作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，確保 各會員公司資訊處理作業能安全有效地運作，特訂定本自律規範。

本自律規範用詞定義如下： 一、資訊資產：包含軟體、硬體、環境、文件、通訊、資料、人員等。 二、自攜裝置：係指非屬公司資產、透過該裝置以無線或有線通訊方式連 接至會員公司內部網路，存取作業系統或檔案服務。 三、雲端服務：係指服務提供者以租借方式提供個人或企業得承租其網路 、伺服器、儲存空間、基礎設施、資安設備、系統軟體、應用程式、 分析與計算等資源，以達資源共享之服務。

各會員公司辦理資訊安全規範除應依據各該公司訂立之資安處理程序及其 應注意事項外，並應符合依本自律規範辦理。

各會員公司辦理資訊安全規範，應至少遵循下列規定： 一、應要求所聘任之員工簽署資訊安全保密切結書、雇佣契約、工作手冊 ，明訂員工應遵守資訊安全保密協定。 二、有委外業務者，應於委外契約中明訂資訊安全保密協定。 三、應透過每年定期、適當之教育訓練或宣導，告知內部員工應遵循之資 訊安全規範。 四、管理階層應督導員工遵循公司既定之資訊安全規範。 五、員工職務異動時，應依既定程序辦理資訊資產退回與存取權限之變更 或取消。

各會員公司應視資訊系統規模與架構，訂定核心資訊系統之範圍與相關作 業規範： 一、核心資訊系統應包括但不限於核保出單、保全（批改）、理賠、保費 （收費）系統。 二、訂定核心資訊系統開發及程式修改作業程序。 三、訂定核心資訊系統置換作業程序，其至少應包括成本效益分析、風險 評估、需求分析、設計規劃、功能測試驗證（含完整性、正確性與穩 定性）、轉換決策評估及平行測試等項目。

各會員公司若有建置管理系統及有關個資之資安資料，應建立資安防禦機 制，並依據保險業辦理電腦系統資訊安全評估作業原則（如附件一）辦理 各項資訊安全評估作業，以改善並提升網路與資訊系統安全防護能力。

各會員公司若有開發並提供行動裝置應用程式，應依據保險業提供行動裝 置應用程式作業原則（如附件二）辦理，以確保行動應用程式（App ）安 全防護能力，並保障消費者權益。

各會員公司若有運用新興科技（包含雲端服務、社群媒體、生物特徵資料 及自攜裝置等），需依據保險業運用新興科技作業原則（如附件三）辦理 ，以建立完善之控管機制，降低新興科技之運用風險。

各會員公司若有運用物聯網設備，需依據保險業物聯網設備作業準則（如 附件四）辦理，以強化物聯網設備之安全。

各會員公司辦理電子商務，應遵循下列事項，以確保電子商務之資訊安全 ： 一、應依據保險業經營電子商務自律規範及保險業網路投保註冊會員密碼 之設計安全作業準則（如附件五）辦理，以確保電子商務之資訊安全 ，降低遭破解之風險。 二、運用網路身分驗證技術，依據保險業網路身分驗證之資訊安全作業準 則（如附件六）辦理，以建立安全有效之驗證機制，減少身分冒用及 詐騙情事發生，並降低保戶及會員公司之機敏資料外洩風險。

各會員公司應訂定設備報廢作業程序，報廢前應將機密性、敏感性資料及 授權軟體予以移除、實施安全性覆寫或實體破壞，應確保報廢之電腦硬碟 及儲存媒體儲存之資料不可還原，並留存報廢紀錄，若委託第三者銷毀時 ，應簽訂保密合約。

各會員公司於非公司職場實施異地辦公或遠端工作時，應評估相關作業風 險，以強化遠端作業之安全： 一、針對營運環境調整、資料傳輸及加密機制、機敏資料防護、稽核軌跡 留存、異常行為監控及對外遠端存取設備進行評估及強化，系統及設 備如有重大漏洞應立即處理及因應，降低業務運作風險，確保整體保 險系統穩定及安全。 二、針對使用之視訊會議系統、VPN 及 VDI 等設備，應訂定相關使用規 範並落實各項安全管控作業。

各會員公司應加強資訊安全事故管理。 各會員公司應依資訊安全事件通報應變作業實施原則，若發生資訊安全事 件時，應儘速回報各所屬公會及主管機關，並採取適當處理措施，以控制 資安事件影響範圍之擴大。

各會員公司若有建置網際網路應用系統（如網路投保、網路要保等直接提 供客戶自動化服務之系統），應定期辦理相關安全性檢測，以確保網際網 路應用系統之資訊安全： 一、應至少每季進行一次作業系統之弱點掃描，會員公司依掃描結果應進 行風險評估，評估為高風險以上之弱點應於 2 個月內修補或完成補 償性控制措施，評估為中、低風險應訂定適當措施及完成時間，執行 矯正、紀錄處理情形並追蹤改善。 二、新系統或系統功能首次上線前及至少每半年應針對異動程式進行程式 碼掃描或黑箱測試，並針對其掃描或測試結果進行風險評估，如無異 動者則不在此限，但仍應參照「保險業電腦系統資訊安全評估作業原 則」辦理電腦系統分類及評估週期相關作業。

各會員公司辦理資訊系統維運時，應注意相關控制措施如下： 一、系統發展生命週期之維運（包含開發、測試）時，須注意版本控制與 變更管理。 二、應定期審核資訊系統帳號之建立、修改及刪除。 三、應建立帳號管理機制，包含帳號之申請及刪除之程序。 四、應定期檢視防火牆規則，以確保現行控制之有效性。

各會員公司依保險業作業委託他人處理應注意事項辦理核心資訊系統作業 委外，應於規劃及遴選階段，將資訊安全相關內容納入評估項目，以強化 資訊安全。並遵循下列事項： 一、服務提供廠商應具備資訊安全相關認證或已有資通安全維護之相關措 施。 二、審核作業委外廠商資格 （一）各會員公司應制定有關審核廠商資格之內控機制，並就作業委外提 供廠商進行評選審查作業。 （二）將資訊安全相關認證納入遴選項目，且應訂定內部程序，其至少包 含作業委外廠商遴選機制、合約或協議簽訂、作業委外廠商管理要 項、產品交付和驗收或維運等項目。 （三）各會員公司應將資訊安全或個人資料隱私管理相關認證納入核心資 訊系統之作業委外廠商評估項目。 三、作業委外廠商管理要項 （一）應建立作業委外廠商管理規範，其內容應含作業委外廠商之人員管 控，並建立適當檢驗機制，以確保管理機制有效落實。 （二）作業委外廠商進行軟、硬體維運時，應具備資通安全維護之措施。 （三）若作業委外內容有重大變更或重大事件時，應審查是否影響相關資 訊安全管理制度或依循標準之要求並評估其風險，採取適當控制措 施。 （四）作業委外廠商簽訂合約或協議，應遵循相關安全管理措施，其內容 包含： 1.服務供應廠商履行合約或協議時所提供軟體（或交付標的物）為 交付產品，需具備合法性且不得違反智慧財產權之規定或侵害第 三人合法權益。 2.作業委外廠商進行核心資訊系統開發或維運時，若涉及客戶、員 工個人資料，需考量具個人資料安全防範措施。 3.應訂定相關資訊安全管理責任。 四、委外稽核 （一）若核心系統作業為委外之業務項目，需符合保險業作業委託他人處 理應注意事項之規定，並定期進行實地查核。 （二）辦理作業委外稽核時，於簽訂之合約應載明保留相關之稽核權利， 得自行或委託獨立單位對委外廠商監督及查核之權責行為。 （三）執行委外稽核作業後，應對稽核紀錄之文件進行複審及保存並由需 求單位進行存查。 （四）提供委外稽核服務的廠商須通過政府資通安全建議的相關證照或可 參照「保險業電腦系統資訊安全評估作業原則」之第柒點要求。

核心資訊系統及直接提供客戶自動化服務系統應加強稽核紀錄管理，並遵 循下列事項： 一、系統產生之稽核紀錄（內容包含但不限於事件類型、發生時間、發生 位置、使用者身分識別等資訊）應有保留機制及存取管理。 二、系統內部時間應定期進行基準時間源進行同步。 三、依據稽核紀錄儲存需求，應配置稽核紀錄所需之儲存容量或建置日誌 伺服器。

各會員公司應強化對跨機構合作夥伴（含保險經紀人、代理人等合作關係 ）之資訊安全風險評估與措施，並遵循下列事項： 一、就保險業與跨機構合作夥伴共同使用之網際網路應用系統（如網路投 保、網路要保等直接提供客戶自動化服務之系統），其系統管控機制 應包括資料傳輸之保密方式、系統使用權限之區隔及系統帳號權限控 管等相關資訊安全機制。 二、與跨機構合作夥伴合約簽訂時，應進行風險評估並規劃風險處置措施 ，並於雙方簽訂備忘錄或契約中載明相關要求，其內容需包含資訊安 全及保戶個人資料保護相關條款、禁止多人共用同一帳號，以及相關 業務往來之查核機制或控管措施，以確保資訊安全維護能力與水準。 三、提供跨機構合作夥伴資訊服務者，應採用雙因子認證或相關身分驗證 方式且帳號密碼應定期變更。

各會員公司應將本自律規範內容，納入內稽內控制度中，並定期辦理查核 。

各會員公司如有違反本自律規範之情事，經查證屬實者且違反情節較輕者 ，得先予書面糾正；如情節較重大者，提報經各所屬公會理事會通過後， 處以新台幣伍萬元以上，貳拾萬元以下之罰款；前述處理情形並應於一個 月內報主管機關。

本規範由中華民國人壽保險商業同業公會與中華民國產物保險商業同業公 會共同訂定，經各該公會理事會決議通過報主管機關備查後施行，修正時 亦同。