保險業資安長制度擴大 7家業者10月底前增設
隨著保險業數位化加速與網路投保普及,駭客詐騙風險跟著升高。金管會宣布修正相關規定,擴大保險業設置資訊安全長(CISO)的適用對象,除原本資產達新台幣1兆元的公司外,未來只要規模達3,000億元,或前一年度網路投保保費收入達5億元的業者,都須設置資安長,預計新增7家保險公司納入規範。
此次將預告修正「保險業內部控制及稽核制度實施辦法」,預告期為14天,若程序順利,預計4月底正式上路。考量業者須調整組織架構與人力配置,新納管的公司有6個月緩衝期,最晚須在今(2026)年10月底前完成資安長設置。
過去金管會規定,資產規模達1兆元以上的保險公司,須設資訊安全長一職,目前已有12家壽險與產險業者設置。壽險業有國泰人壽、南山人壽、富邦人壽、新光人壽、凱基人壽、台灣人壽、三商美邦人壽及全球人壽等8家;另有台銀人壽、元大人壽及中華郵政等3家自願加入,產險業則有兆豐產險1家自動設立。
新制上路後,符合資產規模3,000億元以上,但未設資安長的壽險公司,將新增4家,包含遠雄人壽、安聯人壽、保誠人壽與宏泰人壽。若以網路投保保費收入達5億元為門檻,將再納入3家產險公司,包括富邦產險、國泰產險與新安東京海上產險。
金管會指出,近年保險服務大量數位化,無論是線上投保、理賠申請或保戶資料管理,都高度仰賴資訊系統,一旦發生資安事件,不僅可能影響公司營運,也會衝擊保戶權益,因此有必要強化資安治理架構。
修法內容也進一步明訂資安專責單位的權責,涵蓋規畫與推動資訊安全管理制度、監督各部門落實資安規範、建立資通安全情資分析與通報機制,以及處理資安事件的應變流程等。同時要求資訊安全長須定期向董事會報告年度資安整體執行情形,並在發生重大資安事件時即時通報,以強化公司治理層級對資訊安全議題的監督。
依現行規定,保險公司若發生資安事件,須向保險局通報;若情節重大,須依重大偶發事件規定進行通報。金管會認為,透過擴大設置資安長制度,可進一步整合資安管理與決策層級溝通機制,提升整體資安防護能力。
原文出處
延伸閱讀