保險業運用新興科技作業原則-導覽

 

About Me

 留言

葉柏毅 Alex
Contact: alrex5401@gmail.com
Linkedin：https://www.linkedin.com/in/alrex5401/

保險業運用新興科技作業原則-導覽

https://hackmd.io/@alrex5401/Principle-of-Life-Insurance-Industry-to-Evaluate-Emerging-Technologies

修正日期： 民國 112 年 09 月 07 日

壹、 為協助保險業適當管理運用新興科技之風險，並保障消費者權益，特訂定本作業原則。

貳、 雲端服務安全控管

一、 雲端服務安全名詞定義
(一) 雲端服務：係指服務提供者以租借方式提供個人或企業得承租其網路、伺服器、儲存空間、基礎設施、資安設備、系統軟體、應用程式、分析與計算等資源，以達資源共享之服務。
(二) 軟體即服務（SaaS）：雲端服務業者提供軟體使用，承租人能使用軟體，但並不掌控軟體、作業系統、硬體。
(三) 平台即服務（PaaS）：雲端服務業者提供作業系統使用，承租人能於此作業系統操作其軟體，可掌控運作軟體的環境也擁有作業系統部分掌控權，但並不掌控作業系統、硬體。
(四) 基礎設施即服務（IaaS）：雲端服務業者提供基礎運算資源（如處理能力、儲存空間、網路元件或中介軟體），承租人能掌控作業系統、儲存空間、已部署的應用程式及網路元件（如防火牆、負載平衡器等），但並不掌控雲端基礎運算資源。

• 請對標雲端服務的定義，確認使用的服務是否涉及雲端使用。

二、 本安全控管範圍不包含僅提供會員公司內部使用且不涉及客戶資料處理之服務。

• 如雲端服務使用，僅限公司內部使用且不涉及客戶資料處理之服務，則不在此限。

三、 應制定雲端服務管理政策，至少每年檢視一次。

• 公司應制定雲端服務管理政策，且需定期每年檢視一次。
• 如未修訂，建議仍留下檢視紀錄。

四、 若使用雲端服務涉及保險業作業委託他人處理應注意事項之範疇，應依據其規定辦理監督與查核、境外規定要求、緊急應變及營運持續計畫等機制。

• 如使用雲端服務涉及保險業作業委託他人處理應注意事項，除保險業作業委託他人處理應注意事項-第18條，仍應辦理監督與查核、境外規定要求、緊急應變及營運持續計畫等機制。

五、 採用IaaS或Paas雲端服務模式者，應符合下列規定：
(一) 應評估雲端服務提供者之合格條件、服務水準、復原時間、備援機制、權責歸屬及資訊安全防護等項目。
(二) 應評估雲端服務提供之平台、協定、介面、檔案格式等，以確保互通性與可移植性。
(三) 應確保雲端服務提供者提供之資源與其他承租人所使用之資源各自獨立，互不影響（如防火牆區隔）。
(四) 應與雲端服務提供者簽訂服務協議，維持所需之服務水準並定期提出報告與操作紀錄（如服務水準報告、系統變更紀錄、作業系統映像檔存取紀錄等）。
(五) 保險業應確保資料之刪除、銷毀或不可復原，並留存必要之佐證紀錄以供查驗。

• 使用IaaS或Paas雲端服務者，應評估雲端服務提供者之合格條件、服務水準、復原時間、備援機制、權責歸屬及資訊安全防護等項目，確保互通性、可移植性和租戶區隔狀況。
• 應依上述條件簽訂服務協議、SLA，並定期報告與操作紀錄。
• 當資料刪除、銷毀或不可復原，應留存必要之佐證紀錄。

六、 應針對所傳輸或儲存之客戶資料或敏感資料，建置適當之保護設備或技術，採取適當之存取管制（如資料加密）。採用加密演算法者，應能妥善保護加密金鑰（如使用硬體安全模組）；另應明訂客戶資料保存期限及應留存之相關重要軌跡紀錄。

• 當傳輸或儲存之客戶資料或敏感資料，建置適當之保護設備或技術，採取適當之存取管制與加密金鑰之保存。
• 應明訂客戶資料保存期限，並留存軌跡紀錄。

七、 應監控並建立資訊安全事件通報程序。遇事件發生時，相關單位及人員應依循前述通報程序辦理。

• 應監控並建立資訊安全事件通報程序；可納入現有資安事件通報機制。

八、 應於服務合約終止或轉移時，將使用之作業系統映像檔、儲存空間、快取空間、備份媒體、客戶資料或敏感資料等全數刪除或銷毀，並留存刪除或銷毀之紀錄，以供事後確認。

• 當服務合約終止或轉移時，留存刪除或銷毀之紀錄。

九、 應遵循「個人資料保護法」，資料當事人如申請行使其權利，要求停止處理或利用其資料，應確保其資料皆從雲端刪除或提供相關佐證。

• 留存刪除或銷毀之紀錄

十、 提供電子商務服務者，應符合「保險業經營電子商務自律規範」及「保險業電子商務身分驗證之資訊安全作業準則」規定。

• 保險業經營電子商務自律規範
• 保險業電子商務身分驗證之資訊安全作業準則

雲端服務管理政策，小結：

• 應制定雲端服務管理政策，至少每年檢視一次。
• 應評估雲端服務提供者之合格條件、服務水準、復原時間、備援機制、權責歸屬、資訊安全防護、緊急應變及營運持續計畫等項目，確認互通性、可移植性和租戶區隔。
• 應簽訂服務協議、SLA
• 應提供定期報告與操作紀錄
• 當服務合約終止、轉移或提出資料刪除要求時，執行資料刪除、銷毀或不可復原，應留存必要之佐證紀錄。
• 涉及參考法規：

• 保險業經營電子商務自律規範
• 保險業電子商務身分驗證之資訊安全作業準則
• 保險業作業委託他人處理應注意事項

參、 社群媒體控管程序

一、 社群媒體係指一交流平台，參與者透過與其他單一或多位參與者單向分享或雙向互動，進行內容產出、知識分享、討論共創之平台。

• 常見係指FB社群、IG、Line群組等社群媒體。

二、 本控管程序不包含會員公司內部使用或與個別客戶溝通使用之平台。

• 不包含內部使用，或一對一溝通平台。

三、 應制定社群媒體管理政策，至少每年檢視一次。

• 公司應制定社群媒體管理政策，且需定期每年檢視一次。
• 如未修訂，建議仍留下檢視紀錄。

四、 應制定社群媒體使用守則，明確列出可接受使用之社群媒體、功能及使用規則。

• 社群媒體管理政策應包含，可使用之社群媒體、功能及使用規則。

五、 應制定會員公司發言規範，明確定義各角色被授予之發言權責，並避免非授權之公務言論發表。

• 社群媒體管理政策應包含，發言規範、發言人角色、權責。

六、 應制定內容過濾與監視政策，其監視內容應至少包含防止客戶隱私及會員公司機密外洩、非授權或偽冒身分發言及不可有攻擊或詆毀同業之情事。

• 社群媒體管理政策應包含，內容過濾與監視政策。
• 以技術解，可考慮語意分析系統，透過爬蟲索引相關言論。

七、 應制定不當發言之緊急應變程序。

• 社群媒體管理政策應包含，不當發言之緊急應變程序。

八、 應制定社群媒體異常事件通報程序。

• 社群媒體管理政策應包含，社群媒體異常事件通報程序。

九、 如有不當發言，應留存通聯紀錄，以供日後調查使用。

• 應保留相關通聯紀錄。

社群媒體控管程序，小結：

• 應制定社群媒體管理政策，至少每年檢視一次。
• 可使用之社群媒體、功能及使用規則。
• 發言規範、發言人角色、權責。
• 內容過濾與監視政策，及異常事件通報程序。
• 不當發言之緊急應變程序，並留存相關通聯紀錄。

肆、 自攜裝置安全控管

一、 自攜裝置係指非屬公司資產、透過該裝置以無線或有線通訊方式連接至會員公司內部網路，存取作業系統或檔案服務。

• 自攜裝置之定義；重點是連接至公司內部網路或系統。

二、 應制定自攜裝置管理政策，至少每年檢視一次。

• 應制定自攜裝置管理政策，且需定期每年檢視一次。
• 如未修訂，建議仍留下檢視紀錄。

三、 應列出允許使用之自攜裝置類型、作業系統、應用系統或服務。

• 應列出公司允許使用之自攜裝置類型、作業系統、應用系統或服務。

四、 對自攜裝置所採取之相關措施，應先取得裝置持有者同意，以避免爭議。

• 應設計同意書。
• 常見使用MDM進行管理。
• 常見設計會有密碼錯誤10次，清空裝置設定設計；避免裝置遺失，避免有心人士或是資料外洩疑慮。

五、 應列冊管理使用人員與裝置，至少每年審閱一次。

• 應造冊管理，列出使用者、裝置類型、作業系統、申請同意之應用系統或服務。
• 常見會利用MDM系統，產出現有使用清單。

六、 應建置使用人員身分與裝置識別機制(如帳號密碼識別、裝置識別碼 )。

• 常見（MDM）會紀錄申請人帳號和裝置序號。

七、 應制定自攜裝置連網環境標準，如未符合標準(如作業系統疑似遭破解或提權、未安裝病毒防護、重大漏洞未修復)，應限制其連網功能。

• 應制定連網環境標準。
• 常用是透過VPN軟體，進行環境檢查，確認環境狀況後始得連線。

八、 應建置自攜裝置資料保護措施(如資料加密或遮罩)，並採取適當之存取管制。

• 常見透過MDM管理。
• 常有透過資料不落地或是沙箱環境，進行保護或隔離措施。

九、 應制定自攜裝置遺失處理程序。

• 應制定自攜裝置遺失處理程序。

自攜裝置安全控管，小結：

• 應制定自攜裝置管理政策，至少每年檢視一次。
• 內容應白名單列出允許使用之自攜裝置類型、作業系統、應用系統或服務。
• 應設計遺失處理程序。
• 應定期盤點使用人員與裝置。
• 應有（遠端作業）連網環境標準。
• 應有技術控制，進行資料保護措施。

伍、 生物特徵資料安全控管

一、 用詞定義如下:
(一) 原始生物特徵資料:是指透過感應器(如掃描器、照相機)所擷取的原始資料。
(二) 假名標識符:是指用於生物特徵比對之資料，其內容不為原始生物特徵資料之一部份。
(三) 輔助資料:是指一演算法或機制，用來將原始生物特徵資料分離產生假名標識符。
(四) 生物特徵資料:指包含原始生物特徵資料、假名標識符及輔助資料。
(五) 身分識別資料:為非生物特徵資料之個人資料(如身分證字號、出生日期等)。
(六) 錯誤拒絕率:是指同一人卻因比對其留存之生物特徵資料誤認為不同特徵而拒絕的機率。
(七) 錯誤接受率:是指不同人卻因比對其留存之生物特徵資料誤認為相同特徵而接受的機率。

• 生物特徵相關之名詞定義。

二、 運用生物特徵資料做為識別客戶身分時，其蒐集、處理及利用之行為，應納入個資管理機制。

• 如生物特徵資料，可做為識別客戶身分時，應納入個資管理機制。

三、 應針對生物識別機制，建立其錯誤接受率及錯誤拒絕率之標準，並每年定期檢視。若不符合會員公司要求時，應建立補償措施。

• 建立其錯誤接受率及錯誤拒絕率之標準
• 錯誤拒絕率，FRR，False Rejection Rate，Type I，FRR愈高，愈容易被誤判拒絕，變成使用者的不便利，要多試幾次。
• 錯誤接受率，FAR，False Acceptance Rate，Type II，FAR愈高，有安全隱憂。
• 可參考網站1、網站2說明。

四、 應於蒐集生物特徵資料時，取得客戶同意，並讓客戶充份了解所蒐集之目的及方式。

• 應納入個資管理機制，取得客戶同意。

五、 生物特徵資料儲存於會員公司內部系統時，應將原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體(如資料庫)。

• 生物特徵資料，應進行加密，並獨立儲存在資料庫。
• 如要內部使用，應進行去識別化並加密存儲。

• 匿名化：去除可識別唯一性
• 擬名化：仍可使用對照表，還原可識別唯一性
  其他參考明毓律師事務所

六、 應考量現行業務情況，必要時更新客戶之生物特徵資料，以確保生物特徵資料不會隨時間而失效(如人臉辨識、聲紋辨識等)。

• 納入KYC之一環。
• KYC介紹-叡揚資訊

七、 當會員公司無法以生物特徵資料識別客戶時，應提供重新蒐集生物特徵資料之管道。

• 應建立有效性評估與對應流程。

八、 應確保生物特徵資料於傳輸過程中之訊息隱密性、完整性、不可重複性及來源辨識性。

• 要採用"數位簽章"進行傳輸

九、 應於首次使用生物辨識技術、每年定期及技術有重大變更時(如輔助資料、技術提供商)，經資訊部門檢視該技術足以有效識別客戶身分，其評估範圍包含但不限於模擬偽冒生物特徵資料、確認符合相關法規要求、確認生物辨識機制、作業流程及補償措施之風險控管。

• 應至少納入請採購評估紀錄中。

物特徵資料安全控管，小結：

• 應制定自攜裝置管理政策，至少每年檢視一次。
• 首次使用生物辨識技術或每年應定期審查，該技術是否仍足以有效識別客戶身分。
• 如生物特徵資料，可做為識別客戶身分時，應納入個資管理與KYC機制
• 儲存生物特徵原始資料，應進行加密並獨立儲存在資料庫；如內部使用，應進行先去識別化後加密存儲；在傳輸加密技術，應採用"數位簽章"進行傳輸。