1.目的
財團法人保險安定基金(以下簡稱本基金)為強化資訊安全管理及保障個人資料當事人權利,建構資訊資產與個人資料保護及法規遵循制度,以確保本基金資訊資產及個人資料之機密性、完整性與可用性並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。爰依據「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」及「個人資料保護法」等相關法令與規定,並衡酌本基金之業務需求,特訂定本管理政策。
2.適用範圍
本政策適用於本基金全體同仁(係指員工、約聘僱人員、工讀生)、委外單位,以及所有相關資訊資產之安全管理。
3.名詞定義
資訊安全之本質大致可歸為以下3類:
3.1 機密性 - Confidentiality:
確保只有經授權的人才可以存取資訊。
3.2 完整性 - Integrity:
確保資訊與處理方法的正確性與完整性。
3.3 可用性 - Availability:
確保經授權的使用者在需要時可以取得資訊及相關服務。
4.權責
4.1 本基金資訊安全委員會負責本政策之審核。
4.2 本基金推行小組負責本政策之研擬修訂。
5.資訊安全目標
5.1 資訊安全是本基金達成法定任務的要素之一。本基金需維護高度之資訊安全等級,以確保資訊資產的機密性、完整性、可用性。
5.2 維護本基金作業環境資訊安全之一致性,並兼顧資訊安全與資訊分享。
5.3 各項資訊安全管理規定,須符合政府資訊安全相關法令、規定與政策要求。
5.4 所有資訊作業相關措施,須確保本基金資訊之安全,防止敏感性與機密性資料外洩或遺失。
5.5 適當保護資訊資產(含軟體、硬體、網路通訊設施及資料庫等),採行合宜之備援回復設施及作業,防止未經授權或因作業疏忽對資訊資產所造成之損害,並定期演練前項備援回復作業。
5.6 本基金所執行之專案,應有適當之資訊安全管理措施,以確保相關資訊受到適當保護。
5.7 定期實施資訊安全教育訓練,加強資訊安全政策宣導。
6.個人資料管理目標
6.1 確保本基金符合我國個人資料保護之各項法律及主管機關之函令等要求。
6.2 規劃並提供個人資料檔案適當之安全措施,以確保本基金得以盡良善管理之注意義務。
6.3 對個人資料之蒐集、處理及利用過程,當以誠實及信用方法為之,不逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
6.4 確保個人資料的正確性,並於必要時進行更新。
6.5 保障個人資料當事人之人格權,提供其個人資料的合法自主權。
6.6 僅基於合法目的蒐集最少且必要之個人資料,不會處理多餘的個人資料。
7.資訊安全及個人資料管理指標
本基金將依業務性質,從機密性、完整性、可用性三方面考量,制訂其資訊安全及個人資料管理有效性量測表,並經資安長核可,利用量化指標之管理落實本政策。
8.資訊安全責任
8.1 資訊安全是本基金全體員工的責任。資訊部門負責資訊安全管理制度的建立,各部門應共同遵守之。
8.2 為推動與執行資訊安全管理制度,應成立資訊安全委員會,由資安長擔任召集人。
8.3 管理階層應積極參與資訊安全管理制度活動,提供對資訊安全管理制度之支持。
8.4 本基金同仁於發現資訊安全事件或資訊安全弱點時,應遵守本基金資安事件通報機制即時提報。
8.5 各單位及人員如違反本政策,或發生危及本基金資訊安全行為,都將予以懲處或採行法律行動。
8.6 本基金委外單位應簽署保密協議,並遵守本政策以及相關程序之規定,未經授權不得使用本基金之各類資訊資產。
9.個人資料保護責任
9.1 本基金於業務範圍內有關個人資料之蒐集、處理及利用之作業流程,應防止個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他不合理及違法之利用,並善盡善良管理人之注意責任,以建立民眾信任基礎並維護民眾權益。
9.2 本基金應以符合個人資料保護法及主管機關規範之原則,建立完善之個人資料保護制度,確保業務範圍內個人資料均妥善管理,以維護本基金之聲譽。
10.資訊安全及個人資料管理政策之公告
本政策應每年評估檢討修正,以因應政府法令、環境、業務與技術之變動,經總經理核定後公告實施,修正時亦同。
