111年9月21日訂定
第一條
前進智能保險資訊(以下簡稱本公司)為防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,確保本公司資訊處理作業能安全有效地運作,特訂定本管理辦法以為遵循。
第二條
本自律規範用詞定義如下:
一、資訊資產:包含軟體、硬體、環境、文件、通訊、資料、人員等。
二、行動裝置(Mobile device):亦稱為移動設備、流動裝置或手持裝置(handheld device)等,係指一種可攜帶的計算裝置。典型的行動裝置如智慧型手機、行動電話、攜帶型遊樂器與平板電腦、筆記型電腦等。
員工攜帶自有設備上班 BYOD (Bring Your Own Device):指公司政策允許員工可以在公司內使用自己的筆電、手機、平板等行動裝置來連接到公司網路取用資料,或進行公務處理。
第三條
本公司應確實依據訂立之資安處理程序規定及其應注意事項辦理外,並應依本管理辦法辦理。
第四條
本公司應確實遵循下列規定:
一、延攬人員時,應依據相關法令合約、產業文化及業務需求,進行相當的人員背景查驗。
二、本公司成員應要求首聘任之人員簽署 「資訊安全保密切結書」或於雇用契約、工作手冊明訂成員應遵守資訊安全保密協定。
三、本公司所委外業務之公司或自然人,應於委外契約中明訂資訊安全保密,以保障公司資訊安全。
四、本公司成員應透過定期、適當的教育訓練,告知內部人員應遵循的資訊安全政策規範。
五、管理階層須要求人員遵循公司既定之資訊安全規範。
六、所屬人員職務異動時,應依既定程序辦理資訊業務與相關資訊資產退回與存取權限的變更或取消。
第五條
本公司應訂定使用行動裝置(含 BYOD)之相關規範,其內容應至少包含下列項目:
一、使用行動裝置透過公司內部網路連至外網及存取資料管理。
二、外接式存取裝置之使用管理。
三、使用行動裝置之安全控管程序。
第六條
本公司應訂定使用社群媒體及電子郵件之相關規範,其內容應至少包含下列項目:
一、訂定使用社群媒體之管理辦法
二、不得使用社群媒體討論公司機密訊息。
三、嚴禁使用他人的帳號來傳送、存取電子郵件。
四、公司機密性或專有資訊,透過電子郵件傳送之規定。
五、公司應加強人員資安宣導社群媒體及電子郵件之網路安全教育。
第七條
本公司應訂定使用雲端服務(含私有雲)之相關規範,其內容應至少包含下列項目:
一、雲端服務係指服務提供者以租借方式提供個人或企業得承租其網路、伺服器、儲存空間、基礎設施、資安設備、系統軟體、應用程式、分析與計算等資源,以達資源共享之服務。
二、避免因使用雲端服務導致共享環境所造成的資安問題。
三、於雲端服務進行存取時,應防止資料遺失或外洩,並予以適當之備份。
四、雲端服務的資安教育宣導。
五、不得使用不安全的介接介面。
六、規劃雲端運算解決方案的安全和隱私性。
七、謹慎處理公司置放於雲端資料之管理。
第八條
本公司若有建置或提供行動裝置應用程式給消費者或內部人員使用,應依據保險經紀人行動裝置應用程式作業原則建立行動 App 資訊安全控管機制,以強化行動裝置應用之安全性。
第九條
本公司若有建置管理系統及有關個資之資安資料,應建立資安防禦機制,並依據保險經紀人辦理電腦系統資訊安全評估作業原則,辦理各項資訊安全評估作業,以改善並提升網路與資訊系統安全防護能力。
第十條
本公司辦理網路投保及網路保險服務業務,應偵測釣魚網站,提醒客戶防範網路釣魚,並提供客戶安全教育宣導。
第十一條
本公司應訂定設備(含行動裝置)報廢作業程序,報廢前應將機密性、敏感性資料及授權軟體予以移除、實施安全性覆寫或實體破壞,應確保報廢之電腦硬碟及儲存媒體儲存之資料不可還原,並留存報廢紀錄,若委託第三者銷毀時,應簽訂保密合約。
第十二條
本公司應加強資訊安全事故管理,各會員公司應依資訊安全事件通報應變作業實施原則,若發生資訊安全事故或是個人資料外洩時,應儘速回報本公會及主管機關,並採取其他處理措施以控制資安事件影響範圍之擴大。
第十三條
本公司應將本自律規範內容納入內部資訊安全業務及資安處理制度及程序。另已實施內稽內控制度之會員公司,應納入內稽內控制度,並定期辦理查核。
第十四條
本公司違反本自律規範經查核屬實者,提報本會理事會依章程規定處置,前述處理情形並應於1 個月內報主管機關。
第十五條
本管理辦法授權總經理同意後實施,修正時亦同。