壹、保險法、相關子法及行政釋令( 函)    213


             12. 資訊安全管理指標
                ( 1 )  公式或定義：基本分數 90分，加扣分標準如下：
                    I 前一年度通過全公司資訊系統之資訊安全管理制度 ( ISMS ) 驗
                      證者，加 5分；前一年度通過個人資訊管理制度 ( PIMS ) 部分
                      驗證者，加 5分，若為全公司驗證者，再加 5分。
                    II 未取得ISMS或PIMS預評報告者，每項扣 10分 ( 若該項已通
                      過驗證者，得以驗證證書取代預評報告 ) 。
                   III 未依公會自律規範辦理資訊安全評估作業者，扣 10分。
                   IV 未依公會自律規範辦理行動應用APP安全檢測者，扣 10分。
                    V 發生重大偶發資安事件 ( 不含A.不可歸責者，如天災、停電；
                      B.未致公司或客戶權益受損者 ) ，已通報者每次扣 1分、逾期
                      通報者每次扣 2分、未通報者每次扣 3分 ( 未通報案件之統計
                      期間為本局知悉後 1年內 ) 。
                   VI 因資訊安全管理失當受裁罰者，遭糾正處分者，每項扣 5分，
                      遭處新臺幣 100萬元 ( 不含 ) 以下罰鍰者，每項扣 10分；遭處
                      新臺幣 100萬元至 600萬元 ( 不含 ) 罰鍰者，每項扣 15分；遭
                      處新臺幣 600萬元至 1,000萬元 ( 不含 ) 罰鍰者，每項扣 25分；
                      遭處新臺幣 1,000萬元以上罰鍰或處限制財業務範圍者，每項
                      扣 50分。
                      備註：以上第II項至第IV項，有限責任台灣區漁船產物保險
                      合作社不適用。
                ( 2 )  資料來源：
                    I  ISMS及PIMS：第三方驗證機構核發之有效證書、第三方機
                      構提供之預評報告。
                    II 資訊安全評估作業：依公會自律規範辦理電腦系統資訊安全
                      評估作業之證明文件。
                   III 行動應用APP安全檢測：須提供合格專業機構檢測報告。
                   IV 資訊事件：重大偶發事件通報單、本會裁處書或處分書 ( 以裁
                      罰日期為統計基礎 ) ；未通報案件以保險局接獲行政院國家資
                      通安全會報技術服務中心通知、媒體報導、檢舉信函或檢查
                      局檢查報告等資料為主 ( 通報及未通報案件由保險局提供統計
                      資料 ) 。