壹、保險法、相關子法及行政釋令( 函)    203


              13. 資訊安全管理指標
                 ( 1 )  公式或定義：基本分數 90分，加扣分標準如下：
                     I 前一年度通過全公司資訊系統之資訊安全管理制度 ( ISMS ) 驗
                       證者，加 5分；前一年度通過個人資訊管理制度 ( PIMS ) 部分
                       驗證者，加 5分，若為全公司驗證者，再加 5分。
                    II 未取得ISMS或PIMS預評報告者，每項扣 10分 ( 若該項已通
                       過驗證者，得以驗證證書取代預評報告 ) 。
                    III 未依公會自律規範辦理資訊安全評估作業者，扣 10分。
                    IV 未依公會自律規範辦理行動應用APP安全檢測者，扣 10分。
                    V 發生重大偶發資安事件 ( 不含A.不可歸責者，如天災、停電；
                       B.未致公司或客戶權益受損者 ) ，已通報者每次扣 1分、逾期
                       通報者每次扣 2分、未通報者每次扣 3分 ( 未通報案件之統計
                       期間為本局知悉後 1年內 ) 。
                    VI 因資訊安全管理失當受裁罰者，遭糾正處分者，每項扣 5分，
                       遭處新臺幣 100萬元 ( 不含 ) 以下罰鍰者，每項扣 10分；遭
                       處新臺幣 100萬元至 600萬元 ( 不含 ) 罰鍰者，每項扣 15分；
                       遭處新臺幣 600萬元至 1,000萬元 ( 不含 ) 罰鍰者，每項扣 25
                       分；遭處新臺幣 1,000萬元以上罰鍰或處限制財業務範圍者，
                       每項扣 50分。
                 ( 2 )  資料來源：
                    I  ISMS及PIMS：第三方驗證機構核發之有效證書、第三方機
                       構提供之預評報告。
                    II 資訊安全評估作業：依公會自律規範辦理電腦系統資訊安全
                       評估作業之證明文件。
                    III 行動應用APP安全檢測：須提供合格專業機構檢測報告。
                    IV 資訊事件：重大偶發事件通報單、本會裁處書或處分書
                       ( 以裁罰日期為統計基礎) ；未通報案件以保險局接獲行政院國
                       家資通安全會報技術服務中心通知、媒體報導、檢舉信函或檢
                       查局檢查報告等資料為主 ( 通報及未通報案件由保險局提供統
                       計資料) 。