資安防護

資安政策與管理制度

台名保經因產業特性須處理大量客戶個人資料,自 2015 年起成立「個人資料管理委員會」,並導入個人資訊管理系統(Personal Information Management System, PIMS),全面強化個資管理與防護。該委員會負責檢視與優化作業流程中涉及個資的風險控制,透過流程規範的建立與風險管理機制,提前辨識並應對可能的資料外洩風險。同時整合法律、管理與實務面,持續改善日常作業中對個人資料的管理,確保每一份客戶個資都受到妥善保護。

為進一步提升資訊安全管理,台名保經於 2016 年成立「資訊安全管理委員會」,導入資訊安全管理系統(Information Security Management System, ISMS),以全面落實資安治理。委員會負責監督全公司各營運據點的資安政策執行,定期進行資安風險評估,並於 2024 年 12 月 26  日向董事會提交完整的資安風險管理報告。在內部控管方面,部署端點監控系統,實現主動通知與預警機制,並完成 ISO 27001:2022 版本升級。在外部防護方面,導入網站應用防火牆(WAF),盤點並升級系統版本,同時加強員工的資安教育與培訓,以提升整體防護能力。

資訊安全事件管理流程

台名保經建置明確的資訊安全事件應變管理流程,以確保發生資安異常時,能即時處置以控管風險、降低損害並維持營運持續性。當偵測到疑似資安事件,將即啟動通報機制,並依事件性質及影響範圍初步判斷是否達業務持續運作管理之觸發標準。

  • 倘符合標準,以業務持續運作管理執行應變作業;
  • 若不符合,則依一般資安事件程序進行處理,惟於後續應處過程中,如事件影響程度顯著提升,亦將即時調升事件等級,以業務持續運作管理之標準處理。

處理過程中,將全面彙整分析安全事件資料,提報資訊安全管理委員會審議,以作為精進資訊安全治理機制與預防措施之依據。另為強化資安韌性,台名每年定期實施業務持續運作演練,並進行滾動式檢討與維護,確保制度之有效性與可執行性。

資安控制措施與教育訓練

台名保經分別於 2016 年通過資訊安全管理系統 ISO 27001 驗證並於 2024 年完成轉版驗證,2022 年通過個人資訊管理系統 BS 10012:2017 國際標準驗證,並於 2019 年加入 F-ISAC 金融資安資訊分享與分析中心會員,以落實標準作業程序、達到及早預警、提升風險應變效率。

▼台名通過 ISO 27001 資訊安全管理系統驗證

▼台名通過 BS 10012 個人資訊管理系統驗證

資安事件及處理結果

2024年5月30日,台名保經因公司委外客製開發程式受到外部資安攻擊導致個資疑似遭竊事件。約 5 萬 9 千名客戶的一般資料外洩,涉及姓名、聯絡方式及其他非敏感性資訊疑似外洩;共有3名客戶回報曾接獲陌生人訊息,但未進一步受到損害。本公司因於第一時間及時移除該程式,同步於公開資訊觀測站發布重訊、通報165反詐騙專線、且於公司官網公告提醒訊息、發送簡訊或信件給相關客戶,並發函至公司合作之保險公司說明本公司應對方案,藉此提高公司客戶、合作公司及內外勤人員之警覺,故後續並未有其他人員反應接獲詐騙情事。

此次事件經調查後確認,並未涉及顧客機密商業資訊及核心系統,故對公司財務及業務並無重大影響。台名保經鄭重以此事件為資安契機,持續深化資安管理,為客戶提供更加安全可靠的服務環境。

WordPress Tables

2023年,台名保經依循金管會《公開發行公司建立內部控制制度處理準則》,正式設置資安專責主管及配置1名資安專責人員,強化公司資安治理體系。另依據營運持續計畫(BCP),分別完成「機房電力中斷演練」以及「網路中斷演練」,確保關鍵業務在突發情況下的穩定性與連續性。此外,自2019年起,公司已投保資安保險,有效降低資訊安全風險及可能帶來的衝擊。

 

為提升員工資安及個資意識,內勤員工應依公司所公告的資訊保護辦法進行自我管理,並定期配合內部稽核、教育訓練及社交工程演練。台名保經已於2025年導入MDR,通過即時監控公司網路和系統,掌握資訊安全,並不定期模擬駭客常用的社交工程手法,對同仁進行「電子郵件社交工程演練」,揭露資訊攻擊的樣態,使同仁提高警覺。另亦進行白帽駭客弱點掃描、行動投保的資安檢視、改善系統、密碼定期更新等基礎管理措施,以確保客戶個資安全。

 

此外,為強化資安防護網,台名保經定期安排資安宣導及教育訓練課程,2024 年內勤員工資訊安全教育訓練與個人資訊保護宣導,合計時數為6小時,完訓率 100 %。另亦安排資訊安全人員進行12小時的 ISO 27001 的資安訓練,並具主導稽核員證照,未來將持續完備各營運據點資安系統,鞏固強化資安聯防機制。

返回頂端