壹、保險法、相關子法及行政釋令( 函)    429


               十二、 核心業務委外處理之控制。
               十三、 客戶及公司機密資料之保密及安全防範控制。
               十四、 電腦犯罪之防範控制。
             中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會應訂
             定並定期檢討資訊安全自律規範。
          第六條之一
             保險業應設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有
             利益衝突之業務，並配置適當人力資源及設備。但主管機關對保險合作
             社另有規定者，依其規定。
             保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，
             應設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責
             相當之人擔任資訊安全專責單位主管。
             保險業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每
             年應將前一年度資訊安全整體執行情形，由資訊安全專責單位主管與董
             ( 理 ) 事長 ( 主席 ) 、總經理、總稽核聯名出具資訊安全整體執行情形聲明
             書 ( 附表一 ) ，並於會計年度終了後三個月內提報董 ( 理 ) 事會。
             保險業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全
             專業課程訓練或職能訓練。總機構、國內外營業單位、商品開發管理單
             位、資金運用單位、資訊單位、資產保管單位及其他管理單位之人員，
             每年至少須接受三小時以上資訊安全宣導課程。
             適用第二項規定之保險業，應於符合適用條件起六個月內調整。
          第七條
             保險業為維持有效之內部控制制度運作，達成第二條所定內部控制之目
             標，應建立自行查核制度、法令遵循制度與風險管理機制及內部稽核制
             度等內部控制三道防線。
             為落實前項規範，保險業應配合採行下列措施：
               一、 內部稽核制度：設置稽核單位，負責查核各單位，並定期評估各
                   單位自行查核辦理績效。
               二、 法令遵循制度：由法令遵循主管依總機構所定之法令遵循計畫，
                   適切檢測各業務經辦人員執行業務是否確實遵循相關法令規章。
               三、 自行查核制度：由各業務、財務及資訊單位成員相互查核業務實
                   際執行情形，並由各單位指派主管或相當職級以上人員負責督導
                   執行，以便及早發現經營缺失並適時予以改正。