資安治理
已制定由董事會核定之「資訊安全政策」,設立「資訊安全管理會議」,由總經理擔任召集人,總經理轄下一級主管及風控長、法遵長為會議委員,邀請稽核主管列席,並設置直隸於總經理之資訊安全長,負責管理獨立運作之資訊安全部,綜理資安治理、資安系統維運及資安事件應變等業務,每月亦將高風險資安事故情境之關鍵風險指標納入風險管理單位之風險整合報告書向董事會報告、每年向董事會提報整體執行情形。
● 資訊安全委員會
資安防禦
已參考美國國家標準技術研究院網路安全框架(NIST CSF)從識別、防護、偵測、回應、復原等架構,設計、規劃縱深防禦技術機制。為更即時掌握風險及應變,導入延伸式偵測與回應、第三方自動化評估等技術,並依ISO 27001、ISO 27701、ISO 22301、BS 10012等國際標準,從網路、應用系統、硬體、作業系統與資料層面,利用適切之資安及個資防護機制,偵測並阻擋威脅,強化關鍵風險防禦工程。另透過自動化攻防演練、紅藍隊演練,模擬真實駭客手法,驗證資安防護的有效性。
● 國際資安標準
| 個體 | 已取得驗證之國際標準 | 驗證範圍 |
|---|---|---|
| 台灣人壽 | ||
| ISO 27001:2013資訊安全管理標準 | 總公司所有部門,包含所有系統開發、作業及維運,網路管理、機房、資訊支援活動等業務。 | |
| ISO 27701:2019隱私資訊管理標準 | ||
| BS 10012:2017個人資訊管理標準 | 全組織,包含總公司所有部門、所有分公司、區域中心及通訊處。 |
個資保護
本公司已依ISO 27001:2013資訊安全管理標準、ISO 27701:2019 隱私資訊管理標準、BS 10012:2017 個人資料管理標準、ISO 22301:2019營運持續管理標準,並以策略、治理、維運、技術等框架建構資訊安全及個資管理方法論,於資訊系統之需求討論、系統分析設計、開發建置、系統測試、系統上線五大階段納入控制措施以提高軟體安全品質,確保個資蒐集、儲存、處理、傳輸、刪除等作業流程均採行嚴密之保護措施,亦有「資訊安全政策」、「個人資料管理政策」,保護各項營業資料、維護客戶權益,並制定「個人資料檔案安全維護辦法」、「個人資料保護聲明」、「資料保密承諾」,於客戶資料之蒐集、處理及利用均採行嚴密之保護措施。
為嚴格保護客戶個資,資訊系統平台僅顯示業務所需最小資料量,減少暴險機會,另訂有「個人資料檔案侵害事件緊急應變計畫」,確保個資侵害事件發生時有所遵循,並持續辦理資訊安全及個資保護教育訓練及宣導提升人員能力、強化資安及個資保護意識。
營運持續管理
台灣人壽於災害事件發生時,致力使傷害降至最低,以確保人員安全、客戶權益、本公司商譽及資產之保全。為使在業務或資訊服務發生事故、設施失效或受損害時,重要服務仍可持續運作,本公司將定期修訂營運持續管理準則並貫徹執行,以持續提昇並提供不中斷之客戶服務。