主    旨：檢送 103  年度辦理人壽保險公司資訊作業專案檢查發現之常見缺失態樣
          及較佳實務作法，請 貴會轉知所屬會員，強化相關資訊作業管控機制，
          請  查照。
說    明：一、依據本會 103  年度對人壽保險公司執行資訊作業檢查結果辦理。
          二、本次檢查結果發現部分人壽保險公司有下列待加強事項，請加強相關
              管控機制，以利資訊安全：
          （一）弱點掃描範圍欠完整、掃描結果或入侵防禦系統所提建議事項未建
                立評估及後續處理程序。
          （二）雖已使用資訊資產軟體管控外接式儲存媒體之使用，留存檔案寫出
                之稽核紀錄，惟未建立稽核紀錄之通知、覆核及存出檔案之後續追
                蹤等作業控管機制。
          （三）對涉及個資之伺服器與個人電腦之資料夾分享開啟作業、權限管理
                及資料存取等，未定期檢視授權情形、留存稽核軌跡及建立稽核軌
                跡之覆核機制。
          （四）對含有個資或機敏資料之電子郵件，未建立過濾機制及控管措施。
          （五）資料庫帳號管理、系統參數設定及查詢作業，有未留存稽核軌跡或
                未對稽核軌跡建立覆核機制。
          （六）對行動裝置應用軟體（APP） 上架時，未辦理原始碼檢視，或逕以
                廠商交付之原始程式碼進行程式比對編譯、上架。
          三、本次專案檢查經瞭解部分人壽保險公司對相關資訊作業已建立良好管
              控機制，可為辦理資訊業務之參考，相關作法如下：
          （一）建置網頁式防火牆（WAF） 、入侵偵測系統（IPS） 等網路安全防
                禦措施，定期辦理弱點掃描及滲透測試，積極修補系統漏洞，以強
                化網路安全。
          （二）管控外接式儲存媒體、即時通訊軟體及外部網頁式郵件之使用，留
                存檔案寫出及傳遞之稽核軌跡，加強控管個資之使用及傳遞。
          （三）個資之儲存、傳遞及使用，已予遮蔽或加密控管，並建置側錄系統
                以留存稽核軌跡；建置檔案安全管理系統，控管內部重要檔案資料
                之傳遞，檔案攜出時由系統自動加密，俾強化資訊安全控管。
          （四）資料不落地：業務員使用平板電腦連線公司伺服器，除以帳號及密
                碼控管登入，並僅限查詢其招攬之客戶資料，客戶資料不留存於平
                板電腦上，以避免設備遺失導致個資外洩之風險。
          （五）主要業務資訊系統已建置雙主機之備援機制，重要資料即時同步備
                份至異地備援中心，定期辦理備援演練，對演練所遇問題能積極檢
                討改善，提升資安事故之應變能力。
正    本：中華民國人壽保險商業同業公會（代表人許○博君）
副    本：本會保險局、檢查局（保險外銀組、地方金融組）