在現代保險業,資訊安全不僅是技術議題,更是一場 法令遵循與國際管理標準的接軌挑戰。《保險業內部控制及稽核制度實施辦法》自 113 年 5 月 7 日修正後,第 6 條與 第 6-1 條對資訊安全的要求更趨明確;然而,若以 ISO 27001:2022(CNS 27001:2023) 的視角審視,仍存在需要補強之處。本文將以「已考量」與「未考量」兩個面向,解析保險業在資訊安全管理上的現況與進化方向。
一、已考量的重點:法規與 ISO 27001 的交集
1️⃣ 資訊分權與權責劃分(對應 5.3 組織角色、責任與權限)
第 6 條要求資訊部門與使用者部門明確劃分權責,對應 ISO 27001 第 5.3 節「組織角色、責任及權限」。此舉有助避免職責衝突,落實「職務區隔」(CNS 27001 附錄 A.5.3),也是審計與內控的核心。
2️⃣ 存取控制與資料保護(對應 附錄 A.5.15 – A.5.18)
條文明確要求程式與資料的存取控制,以及客戶資料的保密與安全防範。這對應 CNS 27001 附錄 A 中多項控制措施:
- A.5.15 存取控制:建立授權流程與權限界定。
- A.5.16 身分管理:確保每位使用者皆有唯一識別。
- A.5.17 鑑別資訊:實施安全密碼與多因子驗證。
- A.5.18 存取權限:落實最小權限原則並定期審查。
此部分已可與國際標準接軌,成為保險業客戶資料保護的制度化基礎。
3️⃣ 災變備援與系統復原(對應 附錄 A.5.29 – A.5.30)
第 6 條要求制定系統復原與災變備援計畫,對應 CNS 27001 附錄 A 中:
- A.5.29 中斷期間之資訊安全:確保營運中斷時的資訊安全等級。
- A.5.30 營運持續之 ICT 備妥性:規劃、測試備援機制並定期檢視。
- A.8.13 資訊備份:確保備份的完整性與可用性。
此要求讓保險業在遭遇災害、駭客或系統中斷時仍能維持服務連續性。
二、未考量的盲點:ISO 27001 強調的三大缺口
1️⃣ 風險管理流程的整體性(對應 6.1 因應風險及機會之行動)
條文雖列出多項控制作業,卻未明確規範「風險識別、分析、評估、處理」的流程與紀錄。
而 CNS 27001 第 6.1.2 與 6.1.3 要求必須建立風險評鑑準則與 適用性聲明(SOA),確保控制措施的選擇有依據。
2️⃣ 資訊安全專責單位的獨立性與高層承諾(對應 5.1 領導及承諾)
第 6-1 條雖要求設置資訊安全專責單位與主管,但若缺乏董事會層級的支持與資源調度,其職權恐受限。
ISO 27001 明確要求最高管理階層須確保資源可得、政策與組織策略一致、並持續改善(CNS 27001 5.1 a–h),這是現行法規尚未強化的部分。
3️⃣ 全員資訊安全認知與教育(對應 7.3 認知、附錄 A.6.3)
第 6-1 條僅要求特定人員受訓 15 小時,其他單位 3 小時。
但 CNS 27001 7.3 明訂「所有受組織控管的人員」都須了解資訊安全政策、貢獻與違反後果。 也就是說,資訊安全文化的全面建立 比時數規定更關鍵。
三、從消費者到企業:ISO 27001 的價值延伸
對保戶而言,保險公司資訊安全管理能力直接關係個資與信任。
若依 CNS 27001 附錄 A.5.19 至 A.5.22 之「供應鏈安全管理」執行,保險業能有效監控外包廠商、雲端服務與第三方金流系統,降低外部風險。
對企業而言,ISO 27001 不只是認證,更是一套「可審計的治理框架」。
它要求文件化資訊、稽核、管理審查與持續改善(第 9 至 10 節),使保險公司能以一致流程證明資訊安全績效,也能在跨國合作與金融監理申報中展現合規透明度。
四、結語
整體而言,《保險業內部控制及稽核制度實施辦法》第 6 條與 第 6-1 條,已奠定保險業資訊安全治理的基礎,但若要達到 ISO 27001 國際認證層級,仍需進一步:
- 整合風險管理流程與 SOA 機制;
- 強化高階管理層的領導與資源承諾;
- 推動全員資訊安全文化與持續教育。
在資訊外洩與詐騙頻傳的時代,法規遵循只是起點;唯有導入 ISO 27001 系統化管理,才能讓「內控」升級為「信任」,成為保險品牌永續經營的核心資產。
📘 參考依據:
- 《保險業內部控制及稽核制度實施辦法》第 6 條、第 6-1 條(113 年 5 月 7 日修正)
- 《CNS 27001:2023 資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項》
