在現代保險業,資訊安全不僅是技術問題,更是一項法令遵循與管理的挑戰。台灣《保險業內部控制及稽核制度實施辦法》第6條與第6-1條清楚規範了保險業應遵守的資訊安全要求。然而,這些規範是否能完全滿足ISO 27001:2022的認證需求?本文將從已考量與未考量的角度,探討保險業的資訊安全管理現況與潛在改進方向。
第6條與ISO 27001的交集:已考量的重點
- 資訊分權與權責劃分(對應ISO 27001:2022 5.3)
第6條要求資訊部門與使用者部門明確劃分權責,與ISO 27001的「組織角色、責任與權限」一節不謀而合。這有助於避免內部職責衝突,確保工作分工清晰。 - 存取控制與資料保護(對應ISO 27002:2022的控制措施 )
條文中特別強調程式及資料的存取控制,以及客戶資料的保密措施,符合ISO 27001中關於資訊分類與存取控制的要求。根據 ISO 27002:2022 的指引標準,以下條文適用於存取控制與資料保護的要求:A.5.15 存取控制:定義並管理存取控制政策及程序,包括授權流程和存取權限的定義。其強調確保依營運需求授權存取,同時限制對敏感資產的未經授權存取。A.5.16 身分管理:提供使用者身分的唯一識別,確保對系統存取的授權是基於身分的適當鑑別。A.5.17 鑑別資訊:確保存取控制的技術性支持,包括安全密碼政策、密碼管理及多因子鑑別的應用。A.5.18 存取權限:涉及分配存取權限的原則,規定應基於最小權限原則進行授權,並定期審查存取權限的適當性。A.8.3 資訊存取限制:限制存取敏感資訊的方式,確保只有獲得適當授權的使用者或系統才能存取相關資料。以上條文在強化資料存取和保護措施方面,提供詳細的指導原則,適合用於符合保險業法令遵循和資訊安全要求的情境中。 - 災變備援計畫(對應ISO 27002:2022的控制措施)
條文規定保險業需制定系統復原與災變備援計畫,這是ISO 27001中「營運持續性管理」的核心。根據 ISO 27002:2022,以下條文與制定系統復原與災變備援計畫的要求相關:A.5.30 營運持續之 ICT 備妥性:內容包括:確保資訊和通訊技術(ICT)基礎設施在災難或重大中斷事件後能夠快速復原。該條文強調 ICT 系統的冗餘性和備份管理。A.5.29 中斷期間之資訊安全:描述如何在營運中斷期間保障資訊安全,包括防止敏感資訊洩露和確保基礎設施安全。A.8.13 資訊備份:指出備份策略的重要性,要求制定和實施系統性資料備份計劃,並確保備份的完整性和可用性。A.8.14 資訊處理設施之多備:強調多重設施的使用,以減少單點故障對營運的影響,確保災變後的服務持續性。A.8.16 監視活動:涉及監控和記錄系統異常,確保在災變發生前後能夠快速檢測並回應異常活動。這些條文共同支持制定和實施全面的系統復原和災變備援計畫,涵蓋風險識別、應急準備、資源管理和運營恢復等方面。
未考量的盲點:進一步提升的空間
- 風險管理流程的整體規劃(ISO 27001:2022 6.1)
條文雖然提到一些具體的控制措施,但未完整涵蓋風險識別、分析、評估與處理的全流程。這可能導致風險管理的碎片化,無法形成系統性應對。 - 資訊安全專責單位的權限獨立性(ISO 27001:2022 5.1)
雖然第6-1條要求設置專責單位,但若缺乏高階管理層的強力支持,這些單位在推動資源調配時可能受限。ISO 27001強調管理層的承諾,這是現行條文中未明確要求的。 - 資訊安全認知及教育訓練(ISO 27002:2022 A.6.3)
條文對於專業人員的訓練有基本時數規定,但未延伸至企業全體員工的資訊安全認知的教育,而ISO 27001標準/ISO 27002指引認為所有員工的認知提升是關鍵。
從消費者到企業:ISO 27001的價值延伸
對於保險商品消費者來說,保險公司的資訊安全管理能力直接影響到個人資料的安全性。例如,若能參考ISO 27001中對供應鏈資訊安全(ISO 27002:2022 A.5.19-A.5.22)的規範,保險業可加強對第三方服務商的監管,降低外部風險。
對於金融保險業內部而言,ISO 27001不僅是一套標準,更是一種國際化的營運指引。特別是當企業尋求跨境合作或國際化擴展時,ISO 27001認證將成為重要的競爭優勢。結語
從第6條與第6-1條的分析可以看出,台灣保險業在資訊安全管理上已具備良好的基礎,但若要達到ISO 27001認證水準,還需進一步整合風險管理流程、強化管理層承諾,並推廣全員資訊安全認知。保險業的法令遵循,不僅關係到內部控制,更直接影響消費者對品牌的信任。在未來,結合法令規範與國際標準,將是保險業不可或缺的趨勢。
