附件。壽險業辦理電腦系統資訊安全評估作業原則。
壹、前言。為確保壽險業提供電腦系統具有一致性基本系統安全防護能力,擬透過各項資訊安全評估作業,發現資安威脅與弱點,藉以實施技術面與管理面相關控制措施,以改善並提升網路與資訊系統安全防護能力,訂定本辦法。
貳、評估範圍。
一、壽險業應就整體電腦系統(含自建與委外維運)依據本作業原則建構一。
套評估計畫,基於持續營運及保障客戶權益,依資訊資產之重要性及影響程度進行分類,定期或分階段辦理資訊安全評估作業,並提交「電腦系統資訊安全評估報告」,辦理矯正預防措施,並定期追蹤檢討。二、評估計畫應報董(理)事會或經其授權之經理部門核定,但外國保險業。
在台分公司,得授權由在中華民國負責人為之。評估計畫至少每三年重新審視一次。
參、電腦系統分類及評估週期。
一、電腦系統依其重要性分為三類:電腦系統。
定義。類別。
直接提供客戶自動化服務或對營。
運有重大影響之系統(如網路投每年至少辦理一次資訊安全。
第一類。保、線上保單交易系統、保單貸評估作業款atm系統等系統)
經人工介入以直接或間接提供客。
戶服務之系統(如作業中心、客每三年至少辦理一次資訊安。
第二類。戶服務、新契約受理、契約變更全評估作業受理、保單行政系統等系統)
評估週期。未接觸客戶資訊或服務且對營運。
每五年至少辦理一次資訊安。
第三類。無影響之系統(如人資、財會、
全評估作業。
總務等系統)
二、單一系統而為數眾多且財產權歸屬於公司之設備得以抽測方式辦理,抽。
測比例每次至少應占該系統全部設備之10%或100台以上。
三、單一系統發生重大資訊安全事件,應於三個月內重新完成資訊安全評估。
作業。肆、資訊安全評估作業。
一、資訊安全評估作業項目:(一)資訊架構檢視。
1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等,以評估可。
能之風險,採取必要因應措施。
2.檢視單點故障最大衝擊與風險承擔能力。
3.檢視對於持續營運所採取相關措施之妥適性。(二)網路活動檢視。
1.檢視網路設備、伺服器之存取紀錄及帳號權限,識別異常紀錄與確認。
警示機制。2.檢視資安設備(如:防火牆、入侵偵測、防毒軟體、資料防護等)之。
監控紀錄,識別異常紀錄與確認警示機制。
3.檢視網路是否存在異常連線或異常網域名稱解析伺服器(domainname
system server , dns server)查詢,並比對是否有符合網路惡意行為的特徵。
三)網路設備、伺服器等設備檢測。
1.辦理網路設備、伺服器的弱點掃描與修補作業。2.檢測終端機及伺服器是否存在惡意程式。3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如檔案傳輸(file
transfer protocol, ftp)連線、資料庫連線等)之儲存保護機制與存取控制。(四)網站安全檢測。
1.針對網站進行滲透測試。
2.針對網站進行弱點掃描、程式原始碼掃描或黑箱測試。3.檢視網站目錄及網頁之存取權限。
4.檢視系統是否有異常的授權連線、cpu資源異常耗用及異常之資料庫。
存取行為等情況。(五)安全設定檢視。
1.檢視伺服器(如網域服務activedirectory)有關「密碼設定原則」與。
帳號鎖定原則」設定。
2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠,連線。
設定是否有安全性弱點。
3.檢視系統存取限制(如存取控制清單access control list)及特權帳。
號管理。4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新。
狀態。5.檢視金鑰之儲存保護機制與存取控制。(六)合規檢視。
檢視整體電腦系統是否符合本作業原則「伍、資訊系統可靠性與安全性。
侵害之對策」之規範。
二、第一類電腦系統應依前項辦理資訊安全評估作業,第二類及第三類電腦。
系統辦理資訊安全評估作業則依系統特性選擇前項必要之評估作業項目。
伍、資訊系統可靠性與安全**害之對策。
一、會員公司應就提升資訊系統可靠性研擬相關對策,其內容包括:
一)提升硬體設備之可靠性:包含預防硬體設備故障與備用硬體設備設置。
之對策。二)提昇軟體系統之可靠性:包含提升軟體開發品質與提升軟體維護品質。
對策。三)提升營運可靠性之對策。
四)故障之早期發現與早期原對策。(五)災變對策。
二、會員公司應就資訊安全**害研擬相關對策,其內容包括:
一)資料保護:包含防止洩、防止破壞篡改與相對應檢測之對策。(二)防止非法使用:包含存取權限確認、應用範圍限制、防止非法偽造、
限制外部網路存取及偵測與因應之對策。
三)防止非法程式:包含防禦、偵測與原對策。
陸、社交工程演練。
每年應至少一次針對使用電腦系統人員,於安全監控範圍內,寄發演練郵件,加強資通安全教育,以期防範惡意程式透過社交方式入侵。
柒、評估單位資格與責任。
一、評估單位可委由外部專業機構或由會員公司內部單位進行。如為外部專。
業機構,該機構應與資安評估標的無利害關係,若為內部單位,應獨立於原電腦系統開發與維護等相關單位。
二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資格。
條件;辦理第二類及第三類電腦系統資訊安全評估作業者,依評估作業項目需要,具備下列相關資格條件之ㄧ:
一)具備資訊安全管理知識,其資格應符合下列條件之一:
1.通過國內外學術機構或團體所舉辦有關資訊安全管理知識考試及格。
取得證書者。
2.參加國內外學術機構或團體所舉辦有關資訊安全管理知識教育訓練。
達一定時數並取得教育訓練合格證明文件者。3.具相關工作經驗且於金融業工作達一定年資者。
二)具備資訊安全技術能力,其資格應符合下列條件之一:
1.通過國內外學術機構或團體所舉辦有關資訊安全技術能力考試及格。
取得證書者。
2.參加國內外學術機構或團體所舉辦有關資訊安全技術能力教育訓練。
達一定時數並取得教育訓練合格證明文件者。3.具相關工作經驗且於金融業工作達一定年資者。
三)具備模擬駭客攻擊能力,其資格應符合下列條件之一:
1.通過國內外學術機構或團體所舉辦有關模擬駭客攻擊能力考試及格。
取得證書者。
2.參加國內外學術機構或團體所舉辦有關模擬駭客攻擊能力教育訓練。
達一定時數並取得教育訓練合格證明文件者。3.具相關工作經驗且於金融業工作達一定年資者。(四)熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料等。
與本案相關之全部資料,評估單位應簽立保密切結書並提供適當保護措施,以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情事。
捌、評估報告。
電腦系統資訊安全評估報告」內容應至少包含評估人員資格、評估範圍、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險明、具體改善建議及社交演練結果,且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存五年。
保险业市场结构产寿险结构对保险讲解
2016 06 13 一 引言。在过去30多年中,伴随着中国经济增长和社会进步,中国保险业也经历了快速的发展,从1980年基本上是由产险构成的总保费收入4.6亿元,发展到2013年产险公司原保险保费收入6481.16亿元,寿险公司原保险保费收入10740.93亿元,年均增长率20 以上。国内外理论与...