保險業未通過ISO27001，將被迫停止電子商務？

 

隨著數位趨勢不斷發展，保險業在AI科技的進步下神速發展，不論是自動化處理的理賠流程，還是逐步佈局管理海量資料的策略，亦或是分析龐大數據替客戶提供創新與個人化的保單商品，這些在在意味著資訊安全的重要性，不僅政府已既出相關規定，消費者更加重視保險業者的資安防護力。

 

政府已明文規定，保險業者沒做這件事，不予通過！

金融監督管理委員會(簡稱金管會)早在109年6月30日要求所有參與電子商務的保險業者，必須取得資訊安全管理系統（ISO27001）認證，若無法通過ISO27001，可能會被限制電子商務或涉及相關條例罰款。

 

2021年5月6日於金管會發布修正條文第五點：

考量保險業辦理網路投保業務及網路保險服務，擁有大量個人資料，為強化個人資料防護效能，增訂應取得個人資料管理系統（Personal Information Management System, 簡稱PIMS）認證，調整期為修正後一年生效。

 

保險業營運上的衝擊與損失３案例

• 曾有一間被併購接管的人壽保險公司被誤認為大陸網站而遭竄改
• 在宜蘭同棟商業大樓的三家保險公司，遇盜竊者侵入，造成上萬筆的保戶個資外洩
• 2010年在彰化的保險公司，共四家公司被竊盜，損失數台筆腦，硬碟中留存的保戶個資

 

損失一般財物事小，但造成公司機密和客戶資料外洩則是非常重大的資安疏漏問題，且有損公司名譽，這才是保險公司最大的虧損。

隨著網路惡意程式的攻擊，未來在個資保護上更要嚴密控管，若一個組織欠缺資訊安全政策，代表該保險公司的管理階層對資訊安全的警覺不足，將影響的不只是賠償問題，而是公司是否能繼續生存。

 

 

取得ISO27001對保險業者有多重要？

ISO 27001附錄A.9實體與環境安全共分兩類：A.9.1安全區域、A.9.2設備安全，從這兒就能明白ISO27001非常在意資安的風險與控管。

 

實體區域的安全 －ISO27001 A.9.1制措施如下：

1. 9.1.1實體安全邊界
2. 9.1.2實體進入控制
3. 9.1.3 保護辦公室、房間和設施安全
4. 9.1.4 保護來自外部與環境的威脅
5. 9.1.5 在安全區域工作
6. 9.1.6 公眾存取、遞送和裝貨區域

 

資訊設備的安全－ISO27001 A.9.2控制措施如下：

1. 9.2.1 設備的設置與保護
2. 9.2.2 支援的公用事物
3. 9.2.3 佈線的安全
4. 9.2.4 設備維護
5. 9.2.5 場所外設備安全
6. 9.2.6 設備安全的處置和再利用
7. 9.2.7 資產的調動

 

 

維持保險業者該有的專業度！ 客戶自然不會少！

對保險公司而言，建立資安管理制度並取得ISO27001認證，是做好公司的本分，更是為了保護客戶的個資機密扛起的責任，通過ISO27001認證只是個開端，這份工作是沒有盡頭的！

 

ISO27001是資安防護的好幫手，可同時滿足保險公司兼顧成本、管理效率，並提供靈活的檔案資料庫儲存裝置、特權帳號權限管理與記錄，便於在龐大紛雜的資訊中，達成安全、便利、彈性一舉數得的管理策略。

 

相信身為保險公司管理者的你，自有一套管理心法，如果你也開始為自己公司的客戶考量並正視ISO27001的重要性，橙言ISO輔導專業顧問 逐步為你的公司拆析以及取得認證的報架結構，給予你最合理的報價！

 

稽核輔導選擇橙言ISO顧問公司，帶領企業打通ISO認證之路。

與我們聯絡：