資訊安全政策
Information Security Policy
最後更新日期:2026 年 2 月 23 日
諾億保險經紀人股份有限公司(以下簡稱「本公司」)深知資訊安全為保險經紀業務之重要基石,為保障客戶權益及公司資訊資產之機密性、完整性與可用性,特依據下列法規訂定本資訊安全政策(以下簡稱「本政策」):
- 《保險經紀人資訊安全作業控管自律規範》
- 《保險業辦理資訊安全防護自律規範》
- 《個人資料保護法》及其施行細則
- 金融監督管理委員會「金融資安韌性發展藍圖」相關措施
- 《保險法》及《保險經紀人管理規則》
本政策適用於本公司所有資訊系統、資料、人員、實體設施及委外服務之資訊安全管理。本公司承諾持續投入資源,建構安全、穩定、值得信賴的保險經紀服務環境。
一、資訊安全治理架構
本公司依法設置資訊安全專責人員,建立以下治理架構:
| 層級 | 職責 |
|---|---|
| 管理階層 | 核定資訊安全政策、分配資安資源、審閱資安報告 |
| 資安專責人員 | 政策制定與推動、日常安全監控、事件應變處理、法規遵循追蹤 |
| 內部稽核 | 定期查核資安措施落實情形、提出改善建議並追蹤矯正成效 |
| 全體同仁 | 遵守資安政策與作業規範、即時通報可疑資安事件 |
資訊安全狀況定期向管理階層報告,重大資安事件則即時通報處理。
二、資訊安全管理措施
本公司參照國際標準 ISO/IEC 27001 資訊安全管理系統之精神,從技術、管理、人員及實體四大面向建立資安防護體系:
1. 技術面防護
- 加密傳輸:全站採用 SSL/TLS 加密技術,確保資料傳輸安全
- 存取控管:實施角色基礎存取控制(RBAC),遵循最小權限原則
- 帳號管理:定期審查帳號權限,人員異動時即時調整或停用
- 密碼政策:要求密碼複雜度並定期更換
- 網路防護:建置防火牆及入侵偵測防護系統
- 惡意程式防護:部署防毒軟體並即時更新病毒碼
- 弱點管理:定期執行系統弱點掃描並修補漏洞
- 郵件安全:郵件過濾機制防範惡意附件及釣魚郵件
- 備份與復原:建立資料定期備份及災害復原機制
2. 管理面措施
- 資產盤點:資訊資產分類分級管理
- 變更管理:系統修改須經審核與測試始得上線
- 行動裝置管理:規範行動裝置及自攜設備(BYOD)之使用
- 雲端服務管理:評估並監控雲端服務供應商之安全性
- 社群媒體與電子郵件:訂定使用規範,防範社交工程攻擊
- 遠端作業管理:遠端工作須經 VPN 加密連線並遵守資料保護規定
- 設備汰除:報廢設備之儲存媒體須經安全覆寫或實體銷毀
3. 人員面管理
- 接觸敏感資訊之人員須完成背景查核
- 全體同仁須簽訂保密切結書
- 人員異動(離職、調任)時即時調整系統存取權限
- 推動資訊安全意識文化
4. 實體面防護
- 資料儲存區域設有實體門禁管控
- 含機密資料之紙本文件妥善保管及安全銷毀
- 重要設備之環境控制與安全管理
三、資訊安全教育訓練
依據《保險經紀人資訊安全作業控管自律規範》,本公司訂定以下教育訓練制度:
| 對象 | 最低時數 | 訓練內容 |
|---|---|---|
| 資安專責人員 | 每年 12 小時以上 | 資安技術、威脅情資、事件應變、法規更新 |
| 一般同仁 | 每年 3 小時以上 | 資安政策認知、個資保護、社交工程辨識、釣魚郵件防範、密碼管理、事件通報 |
本公司並定期辦理資訊安全宣導活動,強化全體同仁之資安意識。
四、資訊安全事件管理與通報
本公司建立完善之資安事件應變機制,如發生資訊安全事件(包括但不限於系統遭入侵、資料外洩、勒索軟體攻擊等),將依下列程序處理:
- 立即應變:啟動事件應變程序,採取必要之損害控制與隔離措施
- 通報主管機關:依規定向中華民國保險經紀人商業同業公會及金融監督管理委員會通報
- 通知當事人:如涉及個人資料外洩,依《個人資料保護法》第 12 條以適當方式通知受影響之當事人
- 調查與改善:進行事故根因分析,採取矯正及預防措施
- 紀錄留存:完整記錄事件經過及處理過程,作為後續改善之參考
勒索軟體應變:本公司特別針對勒索軟體攻擊訂定專項應變計畫,包括即時隔離受感染系統、啟動備份資料復原,並依規定通報主管機關。
五、第三方及委外管理
本公司因業務需要委託第三方提供服務時,採取以下安全管控措施:
- 委託前進行供應商資安風險評估
- 與委外廠商簽訂含資訊安全及保密條款之契約
- 對委外廠商之資料處理進行適當監督
- 禁止跨機構帳號共用
- 第三方維護作業須遵守本公司安全規範
六、營運持續管理
為確保保險經紀業務之持續運作,本公司建立以下營運持續機制:
- 重要資料定期備份,並定期執行備份復原驗證
- 關鍵業務系統訂定營運持續計畫
- 災害復原準備及演練
- 致力維持服務之可用性及穩定性
七、法規遵循與稽核
本公司將資訊安全納入內部控制及稽核體系,確保符合各項監理要求:
- 遵循金管會及保險經紀人公會之各項資安法規與自律規範
- 定期實施資訊安全內部稽核
- 配合主管機關檢查及外部稽核
- 每年檢視本政策,依據法規變動、技術演進及業務需求適時修訂
- 參照金管會「金融資安韌性發展藍圖」之目標治理、全域防護、生態聯防、堅實韌性四大支柱持續精進
八、個人資料保護
資訊安全防護措施與個人資料保護密不可分。本公司依《個人資料保護法》及《金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法》,建立完善之個人資料安全維護機制,包含組織、技術、實體及稽核管理等面向。
有關本公司個人資料蒐集、處理、利用及當事人權利之詳細說明,請參閱 個人資料保護政策。
九、持續改善
本公司採用 PDCA(Plan-Do-Check-Act)循環,持續精進資訊安全管理:
| 階段 | 實施內容 |
|---|---|
| Plan(規劃) | 識別資安風險、訂定安全目標與管控措施 |
| Do(執行) | 落實安全措施、實施教育訓練、推動安全文化 |
| Check(查核) | 內部稽核、弱點掃描、事件分析、績效衡量 |
| Act(改善) | 矯正缺失、更新政策、因應新興威脅與法規變動 |
十、本政策之修訂
本公司至少每年檢視本政策一次,並視法規變動、資安威脅趨勢及業務需求適時修訂。修訂後之政策將公布於本公司網站。如涉及重大變更,本公司將於網站首頁或顯著位置發布通知。
十一、聯絡資訊
如您對本政策有任何疑問,或發現可疑之資訊安全問題,歡迎與本公司聯繫:
諾億保險經紀人股份有限公司
- 資訊安全聯絡窗口
- 地址:台中市台灣大道二段 910 號 7 樓之 7
- 電話:02-77519280
- 電子郵件:henry80323@br-lloyds.com