本站小編為你精心準(zhǔn)備了保險(xiǎn)業(yè)資訊安全防護(hù)經(jīng)驗(yàn)借鑒參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

2015年6月17日，有人在補(bǔ)天漏洞平臺(tái)了某中資中型財(cái)產(chǎn)保險(xiǎn)公司的一個(gè)漏洞，并附有該保險(xiǎn)公司漏洞被侵入后的界面圖。根據(jù)描述，該漏洞可導(dǎo)致該公司的“全部員工個(gè)人資訊及公司各種敏感資訊泄露”。其后，某大型上市壽險(xiǎn)公司再次被媒體曝出“省系統(tǒng)存在漏洞，可泄漏百萬(wàn)條客戶(hù)資訊”。《證券日?qǐng)?bào)》記者查閱國(guó)內(nèi)的漏洞盒子、補(bǔ)天漏洞等漏洞檢測(cè)平臺(tái)發(fā)現(xiàn)，險(xiǎn)企的網(wǎng)絡(luò)平臺(tái)存在漏洞并非個(gè)例，超過(guò)20家保險(xiǎn)機(jī)構(gòu)的官網(wǎng)等平臺(tái)被漏洞檢測(cè)平臺(tái)測(cè)出各類(lèi)漏洞。

被曝出有漏洞的平臺(tái)涵蓋大、中、小型各類(lèi)保險(xiǎn)公司，從各保險(xiǎn)機(jī)構(gòu)曝出的漏洞類(lèi)型來(lái)看，部分高危漏洞可暴露客戶(hù)的保單資訊、微信支付資訊、客戶(hù)姓名、電話、身份證、住址、收入、職業(yè)等敏感資訊，甚至是充值卡、資金都可以被轉(zhuǎn)移。這些資訊一旦泄露，造成的危害不僅是個(gè)人隱私全無(wú)，還會(huì)被犯罪分子利用，例如被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟(jì)犯罪。臺(tái)灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)為規(guī)范會(huì)員公司資訊業(yè)務(wù)與相關(guān)資訊資產(chǎn)的安全，發(fā)揚(yáng)自律精神，防范資訊處理作業(yè)過(guò)程發(fā)生影響資訊及系統(tǒng)機(jī)密性、完整性及可用性的安全事件，確保各會(huì)員公司資訊處理作業(yè)能安全有效地運(yùn)作，特制定了《壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范》，經(jīng)理監(jiān)事會(huì)決議通過(guò)報(bào)主管機(jī)關(guān)備查后施行；為確保提供壽險(xiǎn)業(yè)具有一致性的計(jì)算機(jī)系統(tǒng)基本安全防護(hù)能力，通過(guò)各項(xiàng)資訊安全評(píng)估作業(yè)，發(fā)現(xiàn)資產(chǎn)安全威脅與弱點(diǎn)，藉以實(shí)施技術(shù)面與管理面相關(guān)控制措施，以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護(hù)能力，訂定了《壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)原則》；臺(tái)灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)與產(chǎn)物保險(xiǎn)商業(yè)同業(yè)公會(huì)為強(qiáng)化保險(xiǎn)業(yè)的服務(wù)效能、提供消費(fèi)者便利的投保服務(wù)并保障其權(quán)益，共同訂定了《保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)自律規(guī)范》，經(jīng)各公會(huì)理監(jiān)事會(huì)決議通過(guò)，報(bào)主管機(jī)關(guān)備查后施行。其壽險(xiǎn)業(yè)資訊安全防護(hù)、壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)原則、保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)自律規(guī)范等方面的經(jīng)驗(yàn)，值得借鑒。

一、壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范

資訊資產(chǎn)包含軟件、硬件、環(huán)境、文件、通訊、數(shù)據(jù)、人員等；行動(dòng)裝置（Mobiledevice）亦稱(chēng)為移動(dòng)設(shè)備、流動(dòng)裝置或手持裝置（handhelddevice）等，系指一種可攜帶的計(jì)算裝置。典型的行動(dòng)裝置如智能型手機(jī)、移動(dòng)電話、攜帶型游樂(lè)器與平板計(jì)算機(jī)、筆記型計(jì)算機(jī)等；員工攜帶自有設(shè)備上班BYOD（BringYourOwnDevice），是指公司政策允許員工可以在公司內(nèi)使用自己的筆記本電腦、手機(jī)、平板等行動(dòng)裝置來(lái)連接到公司網(wǎng)絡(luò)取用數(shù)據(jù)，或進(jìn)行公務(wù)處理。臺(tái)灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)，要求各會(huì)員公司辦理資訊安全規(guī)范，除依據(jù)該公司訂立的資產(chǎn)安全處理程序及其注意事項(xiàng)外，還應(yīng)依《壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范》辦理，具體要求如下：

（一）各會(huì)員公司辦理資訊安全規(guī)范，應(yīng)至少遵循下列規(guī)定：延攬員工時(shí)，應(yīng)依據(jù)相關(guān)法令、合約、產(chǎn)業(yè)文化及業(yè)務(wù)需求，了解該員工背景、學(xué)歷、經(jīng)歷；應(yīng)要求所聘任的員工簽署資訊安全保密承諾書(shū)、雇傭契約、工作手冊(cè)或相當(dāng)文件，明訂員工應(yīng)遵守資訊安全保密協(xié)議；有委外業(yè)務(wù)者，應(yīng)于委外契約中明訂資訊安全保密協(xié)議；應(yīng)通過(guò)定期、適當(dāng)?shù)慕逃?xùn)練或倡導(dǎo)，告知內(nèi)部員工應(yīng)遵循的資訊安全規(guī)范；管理階層應(yīng)督導(dǎo)員工遵循公司既定的資訊安全規(guī)范；員工職務(wù)異動(dòng)時(shí)，應(yīng)依既定程序辦理資訊資產(chǎn)退回與存取權(quán)限的變更或取消。

（二）各會(huì)員公司應(yīng)訂定使用行動(dòng)裝置（含BYOD）的相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含訂定行動(dòng)裝置管理規(guī)范、行動(dòng)裝置使用人員管理規(guī)范、使用行動(dòng)裝置的安全控管規(guī)范等項(xiàng)目。

（三）各會(huì)員公司應(yīng)訂定使用社群媒體相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含下列項(xiàng)目：訂定使用社群媒體管理與監(jiān)督機(jī)制；若屬該公司的社群媒體者，應(yīng)揭露相關(guān)資訊，至少包含公司名稱(chēng)和主營(yíng)業(yè)場(chǎng)所地址、通信聯(lián)絡(luò)方式等事項(xiàng)；制定申訴處理機(jī)制。

（四）各會(huì)員公司應(yīng)訂定使用云端服務(wù)（含私有云）的相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含訂定云端服務(wù)安全管理規(guī)范、訂定云端服務(wù)提供者遴選機(jī)制、訂定云端服務(wù)持續(xù)營(yíng)運(yùn)管理規(guī)范等項(xiàng)目。

（五）各會(huì)員公司若有建置管理系統(tǒng)及有關(guān)個(gè)人資產(chǎn)的資產(chǎn)安全數(shù)據(jù)，應(yīng)建立資產(chǎn)安全防御機(jī)制，并依據(jù)壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)原則辦理各項(xiàng)資訊安全評(píng)估作業(yè)，以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護(hù)能力。

（六）各會(huì)員公司應(yīng)加強(qiáng)資訊安全事故管理，依資訊安全事件通報(bào)應(yīng)變作業(yè)實(shí)施原則，若發(fā)生資訊安全事件時(shí)，應(yīng)盡速回報(bào)公會(huì)及主管機(jī)關(guān)，并采取適當(dāng)處理措施，以控制資產(chǎn)安全事件影響范圍的擴(kuò)大。

（七）各會(huì)員公司應(yīng)將該自律規(guī)范內(nèi)容，納入內(nèi)稽內(nèi)控制度中，并定期辦理查核。如有違反該自律規(guī)范的情況，經(jīng)查證屬實(shí)者且違反情節(jié)較輕者，先予書(shū)面糾正；如情節(jié)較重大者，報(bào)經(jīng)公會(huì)理監(jiān)事會(huì)通過(guò)后，處以新臺(tái)幣5萬(wàn)元以上、20萬(wàn)元以下的罰款；前述處理情形應(yīng)于一個(gè)月內(nèi)報(bào)主管機(jī)關(guān)。

二、壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)原則

《壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)原則》（以下簡(jiǎn)稱(chēng)“《作業(yè)原則》”）包括評(píng)估范圍、計(jì)算機(jī)系統(tǒng)分類(lèi)及評(píng)估周期、資訊安全評(píng)估作業(yè)、資訊系統(tǒng)可靠性與安全性侵害的對(duì)策、社交工程演練、評(píng)估單位資格與責(zé)任、評(píng)估報(bào)告等方面的內(nèi)容。

（一）評(píng)估范圍壽險(xiǎn)業(yè)應(yīng)就整體計(jì)算機(jī)系統(tǒng)（含自建與委外維運(yùn)）依據(jù)《作業(yè)原則》建構(gòu)一套評(píng)估計(jì)劃，基于持續(xù)營(yíng)運(yùn)及保障客戶(hù)權(quán)益，依資訊資產(chǎn)之重要性及影響程度進(jìn)行分類(lèi)，定期或分階段辦理資訊安全評(píng)估作業(yè)，并提交“計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估報(bào)告”，辦理矯正預(yù)防措施，并定期追蹤檢討。評(píng)估計(jì)劃應(yīng)報(bào)公司董（理）事會(huì)或經(jīng)其授權(quán)的經(jīng)理部門(mén)核定，外國(guó)保險(xiǎn)業(yè)在臺(tái)分公司可授權(quán)由其在臺(tái)灣地區(qū)的負(fù)責(zé)人為之；評(píng)估計(jì)劃至少每三年重新審視一次。

（二）計(jì)算機(jī)系統(tǒng)分類(lèi)及評(píng)估周期計(jì)算機(jī)系統(tǒng)依其重要性分為三類(lèi)，如下表所示。單一系統(tǒng)且為數(shù)眾多、財(cái)產(chǎn)權(quán)歸屬于保險(xiǎn)公司的設(shè)備應(yīng)以抽測(cè)方式辦理，抽測(cè)比例每次至少應(yīng)占該系統(tǒng)全部設(shè)備的10%或100臺(tái)以上。單一系統(tǒng)發(fā)生重大資訊安全事件，應(yīng)于三個(gè)月內(nèi)重新完成資訊安全評(píng)估作業(yè)。

（三）資訊安全評(píng)估作業(yè)資訊安全評(píng)估作業(yè)項(xiàng)目包括資訊架構(gòu)檢視，網(wǎng)絡(luò)活動(dòng)檢視，網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備檢測(cè)，網(wǎng)站安全檢測(cè)，安全設(shè)定檢視，合規(guī)檢視。其中，資訊架構(gòu)檢視，主要檢視網(wǎng)絡(luò)架構(gòu)的配置、資訊設(shè)備安全管理規(guī)則的妥適性等，以評(píng)估可能的風(fēng)險(xiǎn)，采取必要應(yīng)對(duì)措施；檢視單點(diǎn)故障最大沖擊與風(fēng)險(xiǎn)承擔(dān)能力；檢視對(duì)于持續(xù)營(yíng)運(yùn)所采取的相關(guān)措施的妥適性。網(wǎng)絡(luò)活動(dòng)檢視，主要檢視網(wǎng)絡(luò)設(shè)備、服務(wù)器的存取紀(jì)錄及賬號(hào)權(quán)限、識(shí)別異常紀(jì)錄與確認(rèn)警示機(jī)制；檢視資產(chǎn)安全設(shè)備（如防火墻、入侵偵測(cè)、防毒軟件、數(shù)據(jù)防護(hù)等）的監(jiān)控紀(jì)錄，識(shí)別異常紀(jì)錄與確認(rèn)警示機(jī)制；檢視網(wǎng)絡(luò)是否存在異常聯(lián)機(jī)或異常網(wǎng)域名稱(chēng)解析服務(wù)器(DomainNameSystemServer,DNSServer)查詢(xún)，并比對(duì)是否有符合網(wǎng)絡(luò)惡意行為的特征。網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備檢測(cè)，主要辦理網(wǎng)絡(luò)設(shè)備、服務(wù)器的弱點(diǎn)掃描與修補(bǔ)作業(yè)；檢測(cè)終端機(jī)及服務(wù)器是否存在惡意程序；檢測(cè)系統(tǒng)賬號(hào)登錄密碼復(fù)雜度；檢視外部連接密碼，如檔案?jìng)鬏敚‵ileTransferProtocol,FTP）聯(lián)機(jī)、數(shù)據(jù)庫(kù)聯(lián)機(jī)等的儲(chǔ)存保護(hù)機(jī)制與存取控制。網(wǎng)站安全檢測(cè)，主要針對(duì)網(wǎng)站進(jìn)行滲透測(cè)試；針對(duì)網(wǎng)站進(jìn)行弱點(diǎn)掃描、程序原始碼掃描或黑箱測(cè)試；檢視網(wǎng)站目錄及網(wǎng)頁(yè)的存取權(quán)限；檢視系統(tǒng)是否有異常的授權(quán)聯(lián)機(jī)、CPU資源異常耗用及異常的數(shù)據(jù)庫(kù)存取行為等情況。安全設(shè)定檢視，主要檢視服務(wù)器（如網(wǎng)域服務(wù)ActiveDirectory）有關(guān)“密碼設(shè)定原則”與“賬號(hào)鎖定原則”設(shè)定；檢視防火墻是否開(kāi)啟具有安全性風(fēng)險(xiǎn)的通信端口或非必要通信端口，聯(lián)機(jī)設(shè)定是否有安全性弱點(diǎn)；檢視系統(tǒng)存取限制(如存取控制清單AccessControlList)及特權(quán)賬號(hào)管理；檢視操作系統(tǒng)、防毒軟件、辦公軟件及應(yīng)用軟件等之更新設(shè)定及更新?tīng)顟B(tài)；檢視金鑰的儲(chǔ)存保護(hù)機(jī)制與存取控制。合規(guī)檢視，主要檢視整體計(jì)算機(jī)系統(tǒng)是否符合《作業(yè)原則》“資訊系統(tǒng)可靠性與安全性侵害之對(duì)策”的規(guī)范。第一類(lèi)計(jì)算機(jī)系統(tǒng)應(yīng)依前項(xiàng)辦理資訊安全評(píng)估作業(yè)，第二類(lèi)及第三類(lèi)計(jì)算機(jī)系統(tǒng)辦理資訊安全評(píng)估作業(yè)則依系統(tǒng)特性選擇前項(xiàng)必要的評(píng)估作業(yè)項(xiàng)目。

（四）應(yīng)對(duì)資訊系統(tǒng)可靠性與安全性侵害的對(duì)策會(huì)員公司應(yīng)就提升資訊系統(tǒng)可靠性研擬相關(guān)對(duì)策，其內(nèi)容包括：提升硬設(shè)備的可靠性（含預(yù)防硬設(shè)備故障與備用硬設(shè)備設(shè)置的對(duì)策）；提升軟件系統(tǒng)的可靠性（含提升軟件開(kāi)發(fā)質(zhì)量與軟件維護(hù)質(zhì)量對(duì)策）；提升營(yíng)運(yùn)可靠性的對(duì)策；故障的早期發(fā)現(xiàn)與早期復(fù)原對(duì)策；災(zāi)變對(duì)策。會(huì)員公司應(yīng)就資訊安全性侵害研擬相關(guān)對(duì)策，其內(nèi)容包括：資料保護(hù)（含防止泄漏、防止破壞篡改與相對(duì)應(yīng)檢測(cè)之對(duì)策）；防止非法使用（含存取權(quán)限確認(rèn)、應(yīng)用范圍限制、防止非法偽造、限制外部網(wǎng)路存取及偵測(cè)與因應(yīng)之對(duì)策）；防止非法程序（含防御、偵測(cè)與復(fù)原對(duì)策）。

（五）社交工程演練每年應(yīng)至少一次針對(duì)使用計(jì)算機(jī)系統(tǒng)人員，于安全監(jiān)控范圍內(nèi)，寄發(fā)演練郵件，加強(qiáng)資訊安全教育，以期防范惡意程序通過(guò)社交方式入侵。

（六）評(píng)估單位資格與責(zé)任評(píng)估單位可委托外部專(zhuān)業(yè)機(jī)構(gòu)或由會(huì)員公司內(nèi)部單位進(jìn)行。如為外部專(zhuān)業(yè)機(jī)構(gòu)，該機(jī)構(gòu)應(yīng)與資產(chǎn)安全評(píng)估標(biāo)的無(wú)利害關(guān)系；若為內(nèi)部單位，應(yīng)獨(dú)立于原計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)與維護(hù)等相關(guān)單位。辦理第一類(lèi)計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)的評(píng)估單位應(yīng)具備下列各款資格條件；辦理第二類(lèi)及第三類(lèi)計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估作業(yè)者，依評(píng)估作業(yè)項(xiàng)目需要，具備下列相關(guān)資格條件之一：1.具備資訊安全管理知識(shí)，其資格應(yīng)符合下列條件之一：通過(guò)島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全管理知識(shí)考試并取得證書(shū)者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全管理知識(shí)教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。2.具備資訊安全技術(shù)能力，其資格應(yīng)符合下列條件之一：通過(guò)島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全技術(shù)能力考試并取得證書(shū)者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全技術(shù)能力教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。3.具備模擬黑客攻擊能力，其資格應(yīng)符合下列條件之一：通過(guò)島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)模擬黑客攻擊能力考試并取得證書(shū)者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)模擬黑客攻擊能力教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。4.熟悉金融領(lǐng)域載具應(yīng)用、系統(tǒng)開(kāi)發(fā)或稽核經(jīng)驗(yàn)。相關(guān)檢視文件、檢測(cè)紀(jì)錄文件、組態(tài)參數(shù)、程序原始碼、側(cè)錄封包數(shù)據(jù)等與評(píng)估作業(yè)相關(guān)的全部數(shù)據(jù)，評(píng)估單位應(yīng)簽立保密承諾書(shū)并提供適當(dāng)保護(hù)措施，以防止數(shù)據(jù)外泄。評(píng)估單位及人員不得有隱瞞缺失、不實(shí)陳述、泄露數(shù)據(jù)及不當(dāng)利用等情形。

（七）評(píng)估報(bào)告“計(jì)算機(jī)系統(tǒng)資訊安全評(píng)估報(bào)告”內(nèi)容至少包含評(píng)估人員資格、評(píng)估范圍、評(píng)估時(shí)所發(fā)現(xiàn)的缺失項(xiàng)目、缺失嚴(yán)重程度、缺失類(lèi)別、風(fēng)險(xiǎn)說(shuō)明、具體改善建議及社交演練結(jié)果，且送稽核單位進(jìn)行缺失改善事項(xiàng)之追蹤復(fù)查；該報(bào)告應(yīng)并同缺失改善等相關(guān)文件至少保存五年。

三、保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)自律規(guī)范

行動(dòng)投保業(yè)務(wù)，系指經(jīng)客戶(hù)于保險(xiǎn)公司所出具的書(shū)面文件（下稱(chēng)“確認(rèn)同意書(shū)”）確認(rèn)同意通過(guò)業(yè)務(wù)員提供的含有觸控書(shū)寫(xiě)功能的平板計(jì)算機(jī)、手機(jī)、筆記型計(jì)算機(jī)及個(gè)人計(jì)算機(jī)等電子設(shè)備（以下簡(jiǎn)稱(chēng)“行動(dòng)裝置”）輸入客戶(hù)要保數(shù)據(jù)，以電子文件方式代替紙質(zhì)要保書(shū)及相關(guān)文件，與保險(xiǎn)公司締結(jié)保險(xiǎn)契約的業(yè)務(wù)。臺(tái)灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)與產(chǎn)物保險(xiǎn)商業(yè)同業(yè)公會(huì)共同訂定了《保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)自律規(guī)范》，要求各會(huì)員辦理保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)，應(yīng)遵守保險(xiǎn)法、金融消費(fèi)者保護(hù)法、個(gè)人數(shù)據(jù)保護(hù)法、保險(xiǎn)業(yè)招攬及核保理賠辦法、保險(xiǎn)業(yè)務(wù)員管理規(guī)則等相關(guān)規(guī)定。各會(huì)員公司應(yīng)確認(rèn)業(yè)務(wù)員所提供行動(dòng)裝置的接口及尺寸，可清楚顯示電子文件內(nèi)容，以供客戶(hù)確實(shí)了解相關(guān)資訊。《保險(xiǎn)業(yè)經(jīng)營(yíng)行動(dòng)投保業(yè)務(wù)自律規(guī)范》包括目的、行動(dòng)投保業(yè)務(wù)定義、法令遵循宣示、辦理行動(dòng)投保業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合的條件、辦理行動(dòng)投保的控管作業(yè)程序、行動(dòng)投保作業(yè)應(yīng)遵循的步驟、行動(dòng)投保作業(yè)應(yīng)揭露資訊內(nèi)容、資訊安全控管應(yīng)遵循事項(xiàng)、歸檔資料的保存、客戶(hù)申訴及抱怨、保險(xiǎn)犯罪通報(bào)、納入內(nèi)稽內(nèi)控、罰則等，其具體內(nèi)容如下所述：

（一）辦理行動(dòng)投保業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合的條件各會(huì)員辦理該業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合下列條件：須為現(xiàn)行有效登錄于所屬公司的業(yè)務(wù)員，如招攬的保險(xiǎn)商品屬應(yīng)通過(guò)特別測(cè)驗(yàn)始得招攬者，還應(yīng)通過(guò)該項(xiàng)測(cè)驗(yàn)合格；應(yīng)參加所屬公司辦理與該業(yè)務(wù)有關(guān)的教育訓(xùn)練，并經(jīng)測(cè)驗(yàn)合格。業(yè)務(wù)員如有離職、取消登錄或喪失招攬資格情形時(shí)，所屬公司應(yīng)立即停止其使用該業(yè)務(wù)行動(dòng)裝置的資格及登錄權(quán)限。各會(huì)員辦理上述教育訓(xùn)練及測(cè)驗(yàn)，應(yīng)留存相關(guān)記錄以資驗(yàn)證。

（二）辦理行動(dòng)投保的控管作業(yè)程序各會(huì)員辦理該業(yè)務(wù)，應(yīng)訂定內(nèi)部控制作業(yè)處理程序，內(nèi)容應(yīng)至少包括作業(yè)流程、行政控管機(jī)制、系統(tǒng)控管機(jī)制等內(nèi)容，以作為辦理該業(yè)務(wù)的準(zhǔn)據(jù)。

（三）行動(dòng)投保作業(yè)應(yīng)遵循的步驟各會(huì)員辦理該業(yè)務(wù)的作業(yè)，應(yīng)遵循下列事項(xiàng)：業(yè)務(wù)員須使用所屬公司配給的賬號(hào)及密碼，始得登錄行動(dòng)裝置的操作系統(tǒng)；登錄后應(yīng)于行動(dòng)裝置上，完成客戶(hù)要保相關(guān)數(shù)據(jù)的輸入；由客戶(hù)瀏覽并確認(rèn)要保相關(guān)數(shù)據(jù)輸入內(nèi)容后，于行動(dòng)裝置上親自簽名，并由客戶(hù)另于確認(rèn)同意書(shū)上簽名，以確認(rèn)客戶(hù)確有通過(guò)行動(dòng)裝置投保的意思；應(yīng)設(shè)置確認(rèn)同意書(shū)與要保資料勾稽的控管流程；業(yè)務(wù)員招攬過(guò)程須請(qǐng)要保人、被保險(xiǎn)人提供足以辨識(shí)其身份之證明文件，并與要保書(shū)填載內(nèi)容核對(duì)無(wú)誤后于業(yè)務(wù)員報(bào)告書(shū)聲明確認(rèn)。如屬有約定續(xù)保條款且保險(xiǎn)金額未異動(dòng)、降低或縮減承保范圍的續(xù)保件，或一年期傷害保險(xiǎn)及健康保險(xiǎn)于到期前完成續(xù)保且保險(xiǎn)金額未異動(dòng)、降低或縮減承保范圍的續(xù)保件者，可以客戶(hù)最初投保簽具的確認(rèn)同意書(shū)作為客戶(hù)確有通過(guò)行動(dòng)裝置續(xù)保的意思證明。

（四）行動(dòng)投保作業(yè)應(yīng)揭露資訊內(nèi)容各會(huì)員辦理該業(yè)務(wù)，應(yīng)依規(guī)定及投保險(xiǎn)種的不同，于行動(dòng)投保頁(yè)面提供相關(guān)文件（如同意行動(dòng)投保聲明事項(xiàng)、履行個(gè)人數(shù)據(jù)保護(hù)法告知義務(wù)內(nèi)容、投保須知、要保填寫(xiě)內(nèi)容、傳統(tǒng)型個(gè)人人壽保險(xiǎn)契約審閱期間確認(rèn)聲明書(shū)及顧客適合性鑒別暨建議書(shū)目錄摘要表等）供保戶(hù)檢視或同意，確認(rèn)輸入的內(nèi)容無(wú)誤。應(yīng)提供的相關(guān)文件如未于行動(dòng)投保頁(yè)面呈現(xiàn)者，應(yīng)另行提供紙質(zhì)文本。

（五）資訊安全控管應(yīng)遵循事項(xiàng)各會(huì)員辦理該業(yè)務(wù)的資訊安全控管應(yīng)遵循下列事項(xiàng)：對(duì)于業(yè)務(wù)員登錄行動(dòng)裝置操作系統(tǒng)的身份認(rèn)證安全控管，應(yīng)依設(shè)定密碼的安全控管作業(yè)進(jìn)行密碼設(shè)定與身份驗(yàn)證；辦理該業(yè)務(wù)輸入的要保數(shù)據(jù)，均應(yīng)以加密方式儲(chǔ)存，并須以賬戶(hù)及密碼登錄后，始能查閱相關(guān)內(nèi)容；不得將客戶(hù)個(gè)人數(shù)據(jù)儲(chǔ)存于行動(dòng)裝置，如因聯(lián)機(jī)問(wèn)題無(wú)法實(shí)時(shí)回傳系統(tǒng)時(shí)，應(yīng)將已輸入數(shù)據(jù)文件以AES加密或相當(dāng)?shù)燃?jí)以上的加密方式暫存于行動(dòng)裝置至多24小時(shí)，并不得以任何方式轉(zhuǎn)存，逾時(shí)將自動(dòng)刪除或封鎖，以確保資訊安全；已簽署的要保數(shù)據(jù)傳輸至主機(jī)系統(tǒng)時(shí)，系統(tǒng)應(yīng)即同步刪除行動(dòng)裝置留存的要保數(shù)據(jù)；業(yè)務(wù)員登錄密碼應(yīng)定期更換，頻率不得高于90天，逾期未變更者，各會(huì)員應(yīng)暫停其系統(tǒng)登錄的權(quán)限，以避免盜用的情形；明訂業(yè)務(wù)員遺失行動(dòng)裝置的標(biāo)準(zhǔn)通報(bào)流程以及接獲通報(bào)后的標(biāo)準(zhǔn)處理作業(yè)流程；建立備援機(jī)制相關(guān)規(guī)范；定期檢視該業(yè)務(wù)相關(guān)資訊系統(tǒng)的安全性及資訊安全控管制度的有效性，并依檢視結(jié)果，實(shí)行必要的矯正與預(yù)防措施。

（六）歸檔資料的保存各會(huì)員對(duì)于辦理該業(yè)務(wù)已歸檔儲(chǔ)存的電子要保書(shū)等相關(guān)數(shù)據(jù)，其保存期限不得低于契約期滿或通知要保人不同意承保后五年。

（七）客戶(hù)申訴及抱怨各會(huì)員應(yīng)設(shè)置免費(fèi)服務(wù)專(zhuān)線處理客戶(hù)因該業(yè)務(wù)引發(fā)的申訴與抱怨，對(duì)客戶(hù)的申訴與抱怨應(yīng)積極進(jìn)行處理，并迅速給予妥適響應(yīng)。

（八）保險(xiǎn)犯罪通報(bào)各會(huì)員辦理該業(yè)務(wù)，若發(fā)現(xiàn)有疑似保險(xiǎn)犯罪情形，應(yīng)通報(bào)有關(guān)機(jī)關(guān)。

（九）納入內(nèi)稽內(nèi)控各會(huì)員辦理該業(yè)務(wù)，應(yīng)將自律規(guī)范內(nèi)容納入內(nèi)部控制及內(nèi)部稽核項(xiàng)目，并依據(jù)“保險(xiǎn)業(yè)內(nèi)部控制及稽核制度實(shí)施辦法”相關(guān)規(guī)定辦理。違反該自律規(guī)范，經(jīng)查核屬實(shí)者，可經(jīng)所屬公會(huì)理監(jiān)事會(huì)決議后視情節(jié)輕重予以糾正，或處以新臺(tái)幣20萬(wàn)元以上60萬(wàn)元以下的罰款，并呈報(bào)主管機(jī)關(guān)。各會(huì)員所屬公會(huì)未依前項(xiàng)規(guī)定申報(bào)或處理者，主管機(jī)關(guān)應(yīng)作必要的處置。各會(huì)員的業(yè)務(wù)員（含電話營(yíng)銷(xiāo)人員）或業(yè)務(wù)主管有違反該自律規(guī)范的情形者，其所屬公司應(yīng)依據(jù)“保險(xiǎn)業(yè)務(wù)員管理規(guī)則”及“保險(xiǎn)業(yè)招攬及核保理賠辦法”相關(guān)規(guī)定予以懲處，并函報(bào)所屬公會(huì)備查。

四、結(jié)束語(yǔ)

2015年7月16日，我國(guó)首個(gè)金融資訊行業(yè)協(xié)會(huì)上海金融資訊行業(yè)協(xié)會(huì)成立，該協(xié)會(huì)將與政府部門(mén)、相關(guān)行業(yè)協(xié)會(huì)、金融機(jī)構(gòu)一起，共同推進(jìn)互聯(lián)網(wǎng)金融行業(yè)規(guī)范有序的發(fā)展。金融資訊的行業(yè)概念要遠(yuǎn)早于互聯(lián)網(wǎng)金融，在“互聯(lián)網(wǎng)+”時(shí)代，在IT資訊行業(yè)和金融行業(yè)不斷進(jìn)行產(chǎn)業(yè)融合的當(dāng)下，其內(nèi)涵和外延都得到了不斷的豐富和發(fā)展。金融資訊行業(yè)協(xié)會(huì)的成立有助于推動(dòng)P2P平臺(tái)加強(qiáng)資訊披露，提升行業(yè)透明度，保護(hù)投資人利益。2015年7月18日，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》對(duì)外，明確提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、互聯(lián)網(wǎng)保險(xiǎn)和互聯(lián)網(wǎng)消費(fèi)金融等。在政策環(huán)境向好的大形勢(shì)下，“互聯(lián)網(wǎng)+金融”熱極一時(shí)，但互聯(lián)網(wǎng)金融行業(yè)的異軍突起也給了投機(jī)分子可乘之機(jī)。“互聯(lián)網(wǎng)+金融”在進(jìn)入快車(chē)道的同時(shí)，平臺(tái)漏洞、系統(tǒng)漏洞亦如影隨形。建議借鑒前述我國(guó)臺(tái)灣地區(qū)保險(xiǎn)業(yè)資訊安全防護(hù)方面的已有經(jīng)驗(yàn)，并采取相關(guān)措施抵御風(fēng)險(xiǎn)。

作者：鄭曉玲 朱栩 單位：海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 江泰保險(xiǎn)經(jīng)紀(jì)股份有限公司海口分公司