跳到主要內容

公勝保險經紀人

返回畫面

搜尋

公司治理

資訊安全管理

:::
資訊安全管理

1.資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理資源情形:
(1)資通安全風險管理架構:

本公司組織運作模式採用 PDCA ( Plan-Do-Check-Act ) 循環式管理,由資訊部、法遵室與稽核室共同推動資通安全管理,確保資訊安全策略能持續適應內外環境變化,並透過定期檢視與改善機制,強化風險控管與應變能力。

為確保全面資安防護,本公司已建立資訊安全管理系統(Information Security Management System, ISMS),符合 ISO/IEC 27001 資訊安全管理標準 與 ISO/IEC 27701 隱私資訊管理標準,並透過系統、技術與程序多面向管理,降低企業資安風險:

A. 技術層面:導入多層式資安防禦架構,包含防火牆、入侵偵測/防禦系統 (IDS/IPS)、端點防護 (EDR) 及加密技術,確保系統與資料安全。

B. 管理層面:內部資訊安全規範與 SOP 皆依據 ISO/IEC 27001 資訊安全管理、ISO/IEC 27701 隱私資訊管理國際標準制定,並結合企業營運環境調整,以提升合規性與風險管理能力。

C. 監控層面:建立 24 小時資安監控中心 (SOC),確保企業系統即時監測異常行為,並進行即時應變與事件回應。

D. 供應鏈安全:將資安要求納入供應商管理,確保第三方合作夥伴符合資安標準,降低外部資安風險。

此外,本公司亦定期進行資安風險評估與指標衡量,透過資安攻防演練 (Red Team Testing)、滲透測試與模擬駭客攻擊,檢視防禦機制的有效性,並強化事件應變能力,確保資訊安全管理體系達到持續改進的目標。


(2)資通安全政策:本公司的資通安全政策涵蓋 「規範」、「技術」、「人員」三大面向,並以ISO/IEC 27001 資訊安全管理、ISO/IEC 27701 隱私資訊管理國際標準 為核心,確保資訊安全與隱私保護落實執行。

A. 規範的制定:依據資訊安全Information Security Management System, ISMS管理系統規範,制定相關 ISO/IEC 27001 資訊安全管理、ISO/IEC 27701 隱私資訊管理制度,建立全面性資安政策與內部規範,確保人員作業行為符合國際標準。

B. 科技的使用:

  • 採用多層式資安架構,導入AI資安監控、零信任架構(Zero Trust)及行為異常偵測系統,提升企業數據安全。
  • 建置24HR SOC (Security Operation Center)監控中心,確保即時偵測與回應資安威脅。
  • 採用資料加密、權限管理、多因素驗證(MFA)等技術,確保資料存取安全。

C. 人員的訓練:

  • 新進員工資安訓練:所有新進同仁須完成資安教育訓練,熟悉公司資安政策與應對措施。
  • 定期資安意識訓練:每年至少舉辦4次企業內部資安訓練,內容涵蓋資安威脅趨勢、社交工程攻擊防範、資料外洩應對等。
  • 高階主管與資訊團隊專業訓練:針對資安關鍵人員 (如資訊、法令遵循部門等)提供進階資安認證課程,提升防禦能力。

(3)具體管理方案:本公司制定以下資安管理方案,以確保資安風險可控、應變措施得當。

A. 資訊安全事件應變計畫 (Incident Response Plan, IRP):
  • 訂定明確的事件應變流程,包含 偵測、通報、隔離、回應、復原 五大階段。
  • 設立 資安事件通報機制,確保異常事件能在最短時間內回應與解決。
B. 業務持續運作計畫 (Business Continuity Plan, BCP):
  • 針對 關鍵業務系統,定期進行異地備援測試與災難復原演練,確保企業運作不中斷。
  • 建立 資料異地備援機制,確保重大事故發生時,仍能保障業務持續運作。
C. 資安攻防演練與滲透測試:
  • 每年進行 紅隊攻擊測試 (Red Team Testing),驗證現有防禦機制的有效性。
  • 定期執行 社交工程演練,提升員工資安意識,降低內部人員成為資安風險的可能性。
D. 供應鏈資安管理:
  • 針對合作夥伴、供應商,建立 資安審查機制,確保外部夥伴符合本公司資安標準,降低供應鏈資安風險。

(4)投入資通安全管理資源:本公司長期投入資安管理資源,確保企業營運符合國際標準,並持續強化資訊安全治理能力。

A. 資安預算:每年編列專項資安預算,投資於最新資安技術、基礎設施與人員培訓,以確保企業安全性與合規性。
B. 資安治理報告:每年底向董事會報告資通安全管理成效與未來計畫,確保高層決策者對資安風險有全面掌握。
C. 法規遵循與外部稽核:委託 BSI (英國標準協會) 進行年度ISO/IEC 27001 資訊安全管理、ISO/IEC 27701 隱私資訊管理稽核,確保資安政策符合國際標準。
D. 資安意識推廣:定期透過 時事案例、裁罰案例 作為資安教育內容,提升員工對最新資安威脅的認識,確保全員資安意識同步提升。

資訊安全管理辦法
項次
檔案名稱
下載

公勝保經隱私權政策聲明

公勝保險經紀人股份有限公司(下稱本公司)非常重視客戶之隱私權,並妥善保護客戶之個人資料。對於您的個人資料,除法律或主管機關另有規定外,本公司就您個人資料之蒐集、處理及利用均將恪遵本隱私權保護聲明。為了讓您安心使用本公司所提供之各項服務,在此說明本公司之隱私權保護政策,以及對您所有個人資料的保護及重視。

一、個人資料之蒐集、處理及利用:

(一) 本公司因執行保險經紀業務等特定合法目的且有法定原因下蒐集您的個人資料(包括但不限於姓名、出生年月日、地址、電話、電子郵件信箱等)。

(二) 本公司蒐集個人資料應注意對當事人隱私是否造成過度侵害;僅在倘不蒐集該項個人資料將無法執行業務之必要考量下蒐集個人資料。

(三) 本公司應清楚告知當事人,何人會以什麼方式使用他們的個人資料。

(四) 本公司對您個人資料之蒐集、處理及利用,均在本隱私權政策所提及的特定目的範圍內,採取嚴密的控管,並符合「個人資料保護法」等相關規定。

二、個人資料之安全及保護

本公司已取得ISO 27001(ISMS)資訊安全管理及BS 10012個人資料保護管理兩項認證,依照要求會採取適當的安全措施,來防止未經授權的資料存取、竄改、揭露或毀損,並會對您的個人資料進行傳輸加密,透過防火牆、入侵偵測系統及全公司防毒機制輔助,以防止不法侵入及惡意程式之破壞,保障您的個人資料安全。

三、個人資料之利用範圍:

(一) 您的個人資料會在前開蒐集目的範圍之法定存續期間內被處理及利用。並且本公司可能將您的個人資料提供給:

與您保險契約有關之保險公司

財團法人金融消費評議中心

本公司之法定主管機關。

其他依法令規定有調閱權限之機關。

(二) 若本公司業務需委託第三人時,將嚴格要求受委託之第三人遵守相關法令及個人資料保密約定。

(三) 除在前開利用範圍內利用、依法令、司法機關或主管機關依法所為之指示或徵得您的同意外,本公司不會將您的個人資料提供、交換或出售給其他個人、法人或移作其他目的使用。

(四) 本公司與第三方金融機構共享您的個人資料時,將依「金融機構間資料共享指引」及其他相關法令函釋之規定實行內部控制措施,以確保您的資料受到完整保護。

四、當事人權利行使:

若就您的個人資料需要行使下列權利,除可聯絡您的服務人員以書面方式申請,亦可透過免費客戶服務專線(0800-077-090)詢問辦理。

查詢或閱覽。

製給複本。

補充或更正。

停止蒐集、處理或利用。

刪除。

五、Cookie 及其他技術

(一) Cookies 是伺服端為了區別使用者的不同喜好,由瀏覽器寫入使用者硬碟的一些簡短資訊,雖然Cookies 會識別使用者的電腦,但是無法識別使用者的身分。您可以透過在您的瀏覽器中選擇修改您對於 Cookies 的接受程度,如果選擇拒絕所有的Cookies,您可能無法正常使用部分個人化服務。

(二) 為提供更適合您的個人化服務,Cookies 會在您註冊或登入時建立,以紀錄您在本公司網站的活動,一但您將網頁關閉,這個Cookies將失去效用。

(三) 另如欲刪除您登錄於網站上的個人資料或敏感性資料(會員帳號、登入密碼),請於網站留言申請或參考前揭聲明第四點。

六、第三方網站及服務

(一) 本公司的網站、服務可能含有連結至第三方網站、產品或服務的連結。前述第三方網站、產品或服務可能收集您的個人資料,有關各該第三方對隱私權之蒐集、處理、利用及保護,原則上依其隱私權政策為主。您可以對相關第三方之隱私權政策進行了解。

(二) 與本公司網站連結的其它網站,也可能蒐集您的個人資料。對於您主動提供的個人資訊,這些連結網站有其個別的隱私權政策,故其資料處理措施不適用本公司隱私權政策,本公司無法負任何連帶責任。

七、自我保護措施

請妥善管理您的密碼及或任何個人資料,避免將個人資料任意提供給與您無關的任何人或其他機構,並建議定期更改您的密碼。在您使用完本網站的各項服務功能後,請務必登出並關閉瀏覽器視窗,以防止他人讀取您的個人資料。

八、本政策之修訂

因應可能的主管機關要求、相關法令規定之變更、科技之進步等情事變更,本公司將視需求不定時修訂本政策聲明,並發佈於本公司網站上(https://www.goldennet.com.tw),您可以隨時查閱,以保障您的權益。

九、本公司如未能遵守上述隱私保護原則,或未能遵守本聲明中所承諾之措施時,當自負法律上責任並接受主管機關監督。

TOP

返回畫面

前往連結

返回畫面

前往連結