鄭曉玲 海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院朱　栩 江泰保險(xiǎn)經(jīng)紀(jì)股份有限公司海口分公司

?

我國臺灣地區(qū)保險(xiǎn)業(yè)資訊安全防護(hù)經(jīng)驗(yàn)借鑒

鄭曉玲 海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院
朱栩 江泰保險(xiǎn)經(jīng)紀(jì)股份有限公司?？诜止?/p>

本文受以下基金項(xiàng)目資助：海南省哲學(xué)社會(huì)科學(xué)規(guī)劃課題“‘三農(nóng)’民生保障視角下海南巨災(zāi)保險(xiǎn)研究”[項(xiàng)目編號：HNSK（YB）15-63]；海南省教育廳科學(xué)研究課題《新農(nóng)村建設(shè)中海南農(nóng)村金融機(jī)構(gòu)發(fā)展研究》[項(xiàng)目編號：Hnky2015-63]。

2015年6月17日，有人在補(bǔ)天漏洞平臺發(fā)布了某中資中型財(cái)產(chǎn)保險(xiǎn)公司的一個(gè)漏洞，并附有該保險(xiǎn)公司漏洞被侵入后的界面圖。根據(jù)描述，該漏洞可導(dǎo)致該公司的“全部員工個(gè)人資訊及公司各種敏感資訊泄露”。

其后，某大型上市壽險(xiǎn)公司再次被媒體曝出“省系統(tǒng)存在漏洞，可泄漏百萬條客戶資訊”?！蹲C券日報(bào)》記者查閱國內(nèi)的漏洞盒子、補(bǔ)天漏洞等漏洞檢測平臺發(fā)現(xiàn)，險(xiǎn)企的網(wǎng)絡(luò)平臺存在漏洞并非個(gè)例，超過20家保險(xiǎn)機(jī)構(gòu)的官網(wǎng)等平臺被漏洞檢測平臺測出各類漏洞。被曝出有漏洞的平臺涵蓋大、中、小型各類保險(xiǎn)公司，從各保險(xiǎn)機(jī)構(gòu)曝出的漏洞類型來看，部分高危漏洞可暴露客戶的保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感資訊，甚至是充值卡、資金都可以被轉(zhuǎn)移。這些資訊一旦泄露，造成的危害不僅是個(gè)人隱私全無，還會(huì)被犯罪分子利用，例如被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟(jì)犯罪。

臺灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)為規(guī)范會(huì)員公司資訊業(yè)務(wù)與相關(guān)資訊資產(chǎn)的安全，發(fā)揚(yáng)自律精神，防范資訊處理作業(yè)過程發(fā)生影響資訊及系統(tǒng)機(jī)密性、完整性及可用性的安全事件，確保各會(huì)員公司資訊處理作業(yè)能安全有效地運(yùn)作，特制定了《壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范》，經(jīng)理監(jiān)事會(huì)決議通過報(bào)主管機(jī)關(guān)備查后施行；為確保提供壽險(xiǎn)業(yè)具有一致性的計(jì)算機(jī)系統(tǒng)基本安全防護(hù)能力，通過各項(xiàng)資訊安全評估作業(yè)，發(fā)現(xiàn)資產(chǎn)安全威脅與弱點(diǎn)，藉以實(shí)施技術(shù)面與管理面相關(guān)控制措施，以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護(hù)能力，訂定了《壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)原則》；臺灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)與產(chǎn)物保險(xiǎn)商業(yè)同業(yè)公會(huì)為強(qiáng)化保險(xiǎn)業(yè)的服務(wù)效能、提供消費(fèi)者便利的投保服務(wù)并保障其權(quán)益，共同訂定了《保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)自律規(guī)范》，經(jīng)各公會(huì)理監(jiān)事會(huì)決議通過，報(bào)主管機(jī)關(guān)備查后施行。其壽險(xiǎn)業(yè)資訊安全防護(hù)、壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)原則、保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)自律規(guī)范等方面的經(jīng)驗(yàn)，值得借鑒。

一、壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范

資訊資產(chǎn)包含軟件、硬件、環(huán)境、文件、通訊、數(shù)據(jù)、人員等；行動(dòng)裝置（Mobile device）亦稱為移動(dòng)設(shè)備、流動(dòng)裝置或手持裝置（handheld device）等，系指一種可攜帶的計(jì)算裝置。典型的行動(dòng)裝置如智能型手機(jī)、移動(dòng)電話、攜帶型游樂器與平板計(jì)算機(jī)、筆記型計(jì)算機(jī)等；員工攜帶自有設(shè)備上班BYOD（Bring Your Own Device），是指公司政策允許員工可以在公司內(nèi)使用自己的筆記本電腦、手機(jī)、平板等行動(dòng)裝置來連接到公司網(wǎng)絡(luò)取用數(shù)據(jù)，或進(jìn)行公務(wù)處理。

臺灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)，要求各會(huì)員公司辦理資訊安全規(guī)范，除依據(jù)該公司訂立的資產(chǎn)安全處理程序及其注意事項(xiàng)外，還應(yīng)依《壽險(xiǎn)業(yè)辦理資訊安全防護(hù)自律規(guī)范》辦理，具體要求如下：

（一）各會(huì)員公司辦理資訊安全規(guī)范，應(yīng)至少遵循下列規(guī)定：延攬員工時(shí)，應(yīng)依據(jù)相關(guān)法令、合約、產(chǎn)業(yè)文化及業(yè)務(wù)需求，了解該員工背景、學(xué)歷、經(jīng)歷；應(yīng)要求所聘任的員工簽署資訊安全保密承諾書、雇傭契約、工作手冊或相當(dāng)文件，明訂員工應(yīng)遵守資訊安全保密協(xié)議；有委外業(yè)務(wù)者，應(yīng)于委外契約中明訂資訊安全保密協(xié)議；應(yīng)通過定期、適當(dāng)?shù)慕逃?xùn)練或倡導(dǎo)，告知內(nèi)部員工應(yīng)遵循的資訊安全規(guī)范；管理階層應(yīng)督導(dǎo)員工遵循公司既定的資訊安全規(guī)范；員工職務(wù)異動(dòng)時(shí)，應(yīng)依既定程序辦理資訊資產(chǎn)退回與存取權(quán)限的變更或取消。

（二）各會(huì)員公司應(yīng)訂定使用行動(dòng)裝置（含BYOD）的相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含訂定行動(dòng)裝置管理規(guī)范、行動(dòng)裝置使用人員管理規(guī)范、使用行動(dòng)裝置的安全控管規(guī)范等項(xiàng)目。

（三）各會(huì)員公司應(yīng)訂定使用社群媒體相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含下列項(xiàng)目：訂定使用社群媒體管理與監(jiān)督機(jī)制；若屬該公司的社群媒體者，應(yīng)揭露相關(guān)資訊，至少包含公司名稱和主營業(yè)場所地址、通信聯(lián)絡(luò)方式等事項(xiàng)；制定申訴處理機(jī)制。

（四）各會(huì)員公司應(yīng)訂定使用云端服務(wù)（含私有云）的相關(guān)規(guī)范，其內(nèi)容應(yīng)至少包含訂定云端服務(wù)安全管理規(guī)范、訂定云端服務(wù)提供者遴選機(jī)制、訂定云端服務(wù)持續(xù)營運(yùn)管理規(guī)范等項(xiàng)目。

（五）各會(huì)員公司若有建置管理系統(tǒng)及有關(guān)個(gè)人資產(chǎn)的資產(chǎn)安全數(shù)據(jù)，應(yīng)建立資產(chǎn)安全防御機(jī)制，并依據(jù)壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)原則辦理各項(xiàng)資訊安全評估作業(yè)，以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護(hù)能力。

（六）各會(huì)員公司應(yīng)加強(qiáng)資訊安全事故管理，依資訊安全事件通報(bào)應(yīng)變作業(yè)實(shí)施原則，若發(fā)生資訊安全事件時(shí)，應(yīng)盡速回報(bào)公會(huì)及主管機(jī)關(guān)，并采取適當(dāng)處理措施，以控制資產(chǎn)安全事件影響范圍的擴(kuò)大。

（七）各會(huì)員公司應(yīng)將該自律規(guī)范內(nèi)容，納入內(nèi)稽內(nèi)控制度中，并定期辦理查核。如有違反該自律規(guī)范的情況，經(jīng)查證屬實(shí)者且違反情節(jié)較輕者，先予書面糾正；如情節(jié)較重大者，報(bào)經(jīng)公會(huì)理監(jiān)事會(huì)通過后，處以新臺幣5萬元以上、20萬元以下的罰款；前述處理情形應(yīng)于一個(gè)月內(nèi)報(bào)主管機(jī)關(guān)。

二、壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)原則

《壽險(xiǎn)業(yè)辦理計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)原則》（以下簡稱“《作業(yè)原則》”）包括評估范圍、計(jì)算機(jī)系統(tǒng)分類及評估周期、資訊安全評估作業(yè)、資訊系統(tǒng)可靠性與安全性侵害的對策、社交工程演練、評估單位資格與責(zé)任、評估報(bào)告等方面的內(nèi)容。

（一）評估范圍

壽險(xiǎn)業(yè)應(yīng)就整體計(jì)算機(jī)系統(tǒng)（含自建與委外維運(yùn)）依據(jù)《作業(yè)原則》建構(gòu)一套評估計(jì)劃，基于持續(xù)營運(yùn)及保障客戶權(quán)益，依資訊資產(chǎn)之重要性及影響程度進(jìn)行分類，定期或分階段辦理資訊安全評估作業(yè)，并提交“計(jì)算機(jī)系統(tǒng)資訊安全評估報(bào)告”，辦理矯正預(yù)防措施，并定期追蹤檢討。

評估計(jì)劃應(yīng)報(bào)公司董（理）事會(huì)或經(jīng)其授權(quán)的經(jīng)理部門核定，外國保險(xiǎn)業(yè)在臺分公司可授權(quán)由其在臺灣地區(qū)的負(fù)責(zé)人為之；評估計(jì)劃至少每三年重新審視一次。

（二）計(jì)算機(jī)系統(tǒng)分類及評估周期

計(jì)算機(jī)系統(tǒng)依其重要性分為三類，如下表所示。

單一系統(tǒng)且為數(shù)眾多、財(cái)產(chǎn)權(quán)歸屬于保險(xiǎn)公司的設(shè)備應(yīng)以抽測方式辦理，抽測比例每次至少應(yīng)占該系統(tǒng)全部設(shè)備的10%或100臺以上。

表　計(jì)算機(jī)學(xué)院分類及評估周期

單一系統(tǒng)發(fā)生重大資訊安全事件，應(yīng)于三個(gè)月內(nèi)重新完成資訊安全評估作業(yè)。

（三）資訊安全評估作業(yè)

資訊安全評估作業(yè)項(xiàng)目包括資訊架構(gòu)檢視，網(wǎng)絡(luò)活動(dòng)檢視，網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備檢測，網(wǎng)站安全檢測，安全設(shè)定檢視，合規(guī)檢視。其中，資訊架構(gòu)檢視，主要檢視網(wǎng)絡(luò)架構(gòu)的配置、資訊設(shè)備安全管理規(guī)則的妥適性等，以評估可能的風(fēng)險(xiǎn)，采取必要應(yīng)對措施；檢視單點(diǎn)故障最大沖擊與風(fēng)險(xiǎn)承擔(dān)能力；檢視對于持續(xù)營運(yùn)所采取的相關(guān)措施的妥適性。網(wǎng)絡(luò)活動(dòng)檢視，主要檢視網(wǎng)絡(luò)設(shè)備、服務(wù)器的存取紀(jì)錄及賬號權(quán)限、識別異常紀(jì)錄與確認(rèn)警示機(jī)制；檢視資產(chǎn)安全設(shè)備（如防火墻、入侵偵測、防毒軟件、數(shù)據(jù)防護(hù)等）的監(jiān)控紀(jì)錄，識別異常紀(jì)錄與確認(rèn)警示機(jī)制；檢視網(wǎng)絡(luò)是否存在異常聯(lián)機(jī)或異常網(wǎng)域名稱解析服務(wù)器(Domain Name System Server , DNS Server)查詢，并比對是否有符合網(wǎng)絡(luò)惡意行為的特征。網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備檢測，主要辦理網(wǎng)絡(luò)設(shè)備、服務(wù)器的弱點(diǎn)掃描與修補(bǔ)作業(yè)；檢測終端機(jī)及服務(wù)器是否存在惡意程序；檢測系統(tǒng)賬號登錄密碼復(fù)雜度；檢視外部連接密碼，如檔案傳輸（File Transfer Protocol, FTP）聯(lián)機(jī)、數(shù)據(jù)庫聯(lián)機(jī)等的儲存保護(hù)機(jī)制與存取控制。網(wǎng)站安全檢測，主要針對網(wǎng)站進(jìn)行滲透測試；針對網(wǎng)站進(jìn)行弱點(diǎn)掃描、程序原始碼掃描或黑箱測試；檢視網(wǎng)站目錄及網(wǎng)頁的存取權(quán)限；檢視系統(tǒng)是否有異常的授權(quán)聯(lián)機(jī)、CPU資源異常耗用及異常的數(shù)據(jù)庫存取行為等情況。安全設(shè)定檢視，主要檢視服務(wù)器（如網(wǎng)域服務(wù)Active Directory）有關(guān)“密碼設(shè)定原則”與“賬號鎖定原則”設(shè)定；檢視防火墻是否開啟具有安全性風(fēng)險(xiǎn)的通信端口或非必要通信端口，聯(lián)機(jī)設(shè)定是否有安全性弱點(diǎn)；檢視系統(tǒng)存取限制(如存取控制清單Access Control List)及特權(quán)賬號管理；檢視操作系統(tǒng)、防毒軟件、辦公軟件及應(yīng)用軟件等之更新設(shè)定及更新狀態(tài)；檢視金鑰的儲存保護(hù)機(jī)制與存取控制。合規(guī)檢視，主要檢視整體計(jì)算機(jī)系統(tǒng)是否符合《作業(yè)原則》“資訊系統(tǒng)可靠性與安全性侵害之對策”的規(guī)范。

第一類計(jì)算機(jī)系統(tǒng)應(yīng)依前項(xiàng)辦理資訊安全評估作業(yè)，第二類及第三類計(jì)算機(jī)系統(tǒng)辦理資訊安全評估作業(yè)則依系統(tǒng)特性選擇前項(xiàng)必要的評估作業(yè)項(xiàng)目。

合規(guī)檢視，主要檢視整體計(jì)算機(jī)系統(tǒng)是否符合《作業(yè)原則》資訊系統(tǒng)可靠性與安全性侵害之對策的規(guī)范。

（四）應(yīng)對資訊系統(tǒng)可靠性與安全性侵害的對策

會(huì)員公司應(yīng)就提升資訊系統(tǒng)可靠性研擬相關(guān)對策，其內(nèi)容包括：提升硬設(shè)備的可靠性（含預(yù)防硬設(shè)備故障與備用硬設(shè)備設(shè)置的對策）；提升軟件系統(tǒng)的可靠性（含提升軟件開發(fā)質(zhì)量與軟件維護(hù)質(zhì)量對策）；提升營運(yùn)可靠性的對策；故障的早期發(fā)現(xiàn)與早期復(fù)原對策；災(zāi)變對策。

會(huì)員公司應(yīng)就資訊安全性侵害研擬相關(guān)對策，其內(nèi)容包括：資料保護(hù)（含防止泄漏、防止破壞篡改與相對應(yīng)檢測之對策）；防止非法使用（含存取權(quán)限確認(rèn)、應(yīng)用范圍限制、防止非法偽造、限制外部網(wǎng)路存取及偵測與因應(yīng)之對策）；防止非法程序（含防御、偵測與復(fù)原對策）。

（五）社交工程演練

每年應(yīng)至少一次針對使用計(jì)算機(jī)系統(tǒng)人員，于安全監(jiān)控范圍內(nèi)，寄發(fā)演練郵件，加強(qiáng)資訊安全教育，以期防范惡意程序通過社交方式入侵。

（六）評估單位資格與責(zé)任

評估單位可委托外部專業(yè)機(jī)構(gòu)或由會(huì)員公司內(nèi)部單位進(jìn)行。如為外部專業(yè)機(jī)構(gòu)，該機(jī)構(gòu)應(yīng)與資產(chǎn)安全評估標(biāo)的無利害關(guān)系；若為內(nèi)部單位，應(yīng)獨(dú)立于原計(jì)算機(jī)系統(tǒng)開發(fā)與維護(hù)等相關(guān)單位。

辦理第一類計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)的評估單位應(yīng)具備下列各款資格條件；辦理第二類及第三類計(jì)算機(jī)系統(tǒng)資訊安全評估作業(yè)者，依評估作業(yè)項(xiàng)目需要，具備下列相關(guān)資格條件之一：

1.具備資訊安全管理知識，其資格應(yīng)符合下列條件之一：通過島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全管理知識考試并取得證書者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全管理知識教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。

2.具備資訊安全技術(shù)能力，其資格應(yīng)符合下列條件之一：通過島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全技術(shù)能力考試并取得證書者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)資訊安全技術(shù)能力教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。

3.具備模擬黑客攻擊能力，其資格應(yīng)符合下列條件之一：通過島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)模擬黑客攻擊能力考試并取得證書者；參加島內(nèi)外學(xué)術(shù)機(jī)構(gòu)或團(tuán)體所舉辦有關(guān)模擬黑客攻擊能力教育訓(xùn)練達(dá)一定時(shí)數(shù)并取得教育訓(xùn)練合格證明文件者；具相關(guān)工作經(jīng)驗(yàn)且于金融業(yè)工作達(dá)一定年資者。

4.熟悉金融領(lǐng)域載具應(yīng)用、系統(tǒng)開發(fā)或稽核經(jīng)驗(yàn)。

相關(guān)檢視文件、檢測紀(jì)錄文件、組態(tài)參數(shù)、程序原始碼、側(cè)錄封包數(shù)據(jù)等與評估作業(yè)相關(guān)的全部數(shù)據(jù)，評估單位應(yīng)簽立保密承諾書并提供適當(dāng)保護(hù)措施，以防止數(shù)據(jù)外泄。評估單位及人員不得有隱瞞缺失、不實(shí)陳述、泄露數(shù)據(jù)及不當(dāng)利用等情形。

（七）評估報(bào)告

“計(jì)算機(jī)系統(tǒng)資訊安全評估報(bào)告”內(nèi)容至少包含評估人員資格、評估范圍、評估時(shí)所發(fā)現(xiàn)的缺失項(xiàng)目、缺失嚴(yán)重程度、缺失類別、風(fēng)險(xiǎn)說明、具體改善建議及社交演練結(jié)果，且送稽核單位進(jìn)行缺失改善事項(xiàng)之追蹤復(fù)查；該報(bào)告應(yīng)并同缺失改善等相關(guān)文件至少保存五年。

三、保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)自律規(guī)范

行動(dòng)投保業(yè)務(wù)，系指經(jīng)客戶于保險(xiǎn)公司所出具的書面文件（下稱“確認(rèn)同意書”）確認(rèn)同意通過業(yè)務(wù)員提供的含有觸控書寫功能的平板計(jì)算機(jī)、手機(jī)、筆記型計(jì)算機(jī)及個(gè)人計(jì)算機(jī)等電子設(shè)備（以下簡稱“行動(dòng)裝置”）輸入客戶要保數(shù)據(jù)，以電子文件方式代替紙質(zhì)要保書及相關(guān)文件，與保險(xiǎn)公司締結(jié)保險(xiǎn)契約的業(yè)務(wù)。

臺灣地區(qū)的人壽保險(xiǎn)商業(yè)同業(yè)公會(huì)與產(chǎn)物保險(xiǎn)商業(yè)同業(yè)公會(huì)共同訂定了《保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)自律規(guī)范》，要求各會(huì)員辦理保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)，應(yīng)遵守保險(xiǎn)法、金融消費(fèi)者保護(hù)法、個(gè)人數(shù)據(jù)保護(hù)法、保險(xiǎn)業(yè)招攬及核保理賠辦法、保險(xiǎn)業(yè)務(wù)員管理規(guī)則等相關(guān)規(guī)定。各會(huì)員公司應(yīng)確認(rèn)業(yè)務(wù)員所提供行動(dòng)裝置的接口及尺寸，可清楚顯示電子文件內(nèi)容，以供客戶確實(shí)了解相關(guān)資訊。

《保險(xiǎn)業(yè)經(jīng)營行動(dòng)投保業(yè)務(wù)自律規(guī)范》包括目的、行動(dòng)投保業(yè)務(wù)定義、法令遵循宣示、辦理行動(dòng)投保業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合的條件、辦理行動(dòng)投保的控管作業(yè)程序、行動(dòng)投保作業(yè)應(yīng)遵循的步驟、行動(dòng)投保作業(yè)應(yīng)揭露資訊內(nèi)容、資訊安全控管應(yīng)遵循事項(xiàng)、歸檔資料的保存、客戶申訴及抱怨、保險(xiǎn)犯罪通報(bào)、納入內(nèi)稽內(nèi)控、罰則等，其具體內(nèi)容如下所述：

（一）辦理行動(dòng)投保業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合的條件

各會(huì)員辦理該業(yè)務(wù)的業(yè)務(wù)員應(yīng)符合下列條件：須為現(xiàn)行有效登錄于所屬公司的業(yè)務(wù)員，如招攬的保險(xiǎn)商品屬應(yīng)通過特別測驗(yàn)始得招攬者，還應(yīng)通過該項(xiàng)測驗(yàn)合格；應(yīng)參加所屬公司辦理與該業(yè)務(wù)有關(guān)的教育訓(xùn)練，并經(jīng)測驗(yàn)合格。

業(yè)務(wù)員如有離職、取消登錄或喪失招攬資格情形時(shí)，所屬公司應(yīng)立即停止其使用該業(yè)務(wù)行動(dòng)裝置的資格及登錄權(quán)限。各會(huì)員辦理上述教育訓(xùn)練及測驗(yàn)，應(yīng)留存相關(guān)記錄以資驗(yàn)證。

（二）辦理行動(dòng)投保的控管作業(yè)程序

各會(huì)員辦理該業(yè)務(wù)，應(yīng)訂定內(nèi)部控制作業(yè)處理程序，內(nèi)容應(yīng)至少包括作業(yè)流程、行政控管機(jī)制、系統(tǒng)控管機(jī)制等內(nèi)容，以作為辦理該業(yè)務(wù)的準(zhǔn)據(jù)。

（三）行動(dòng)投保作業(yè)應(yīng)遵循的步驟

各會(huì)員辦理該業(yè)務(wù)的作業(yè)，應(yīng)遵循下列事項(xiàng)：業(yè)務(wù)員須使用所屬公司配給的賬號及密碼，始得登錄行動(dòng)裝置的操作系統(tǒng)；登錄后應(yīng)于行動(dòng)裝置上，完成客戶要保相關(guān)數(shù)據(jù)的輸入；由客戶瀏覽并確認(rèn)要保相關(guān)數(shù)據(jù)輸入內(nèi)容后，于行動(dòng)裝置上親自簽名，并由客戶另于確認(rèn)同意書上簽名，以確認(rèn)客戶確有通過行動(dòng)裝置投保的意思；應(yīng)設(shè)置確認(rèn)同意書與要保資料勾稽的控管流程；業(yè)務(wù)員招攬過程須請要保人、被保險(xiǎn)人提供足以辨識其身份之證明文件，并與要保書填載內(nèi)容核對無誤后于業(yè)務(wù)員報(bào)告書聲明確認(rèn)。

如屬有約定續(xù)保條款且保險(xiǎn)金額未異動(dòng)、降低或縮減承保范圍的續(xù)保件，或一年期傷害保險(xiǎn)及健康保險(xiǎn)于到期前完成續(xù)保且保險(xiǎn)金額未異動(dòng)、降低或縮減承保范圍的續(xù)保件者，可以客戶最初投保簽具的確認(rèn)同意書作為客戶確有通過行動(dòng)裝置續(xù)保的意思證明。

（四）行動(dòng)投保作業(yè)應(yīng)揭露資訊內(nèi)容

各會(huì)員辦理該業(yè)務(wù)，應(yīng)依規(guī)定及投保險(xiǎn)種的不同，于行動(dòng)投保頁面提供相關(guān)文件（如同意行動(dòng)投保聲明事項(xiàng)、履行個(gè)人數(shù)據(jù)保護(hù)法告知義務(wù)內(nèi)容、投保須知、要保填寫內(nèi)容、傳統(tǒng)型個(gè)人人壽保險(xiǎn)契約審閱期間確認(rèn)聲明書及顧客適合性鑒別暨建議書目錄摘要表等）供保戶檢視或同意，確認(rèn)輸入的內(nèi)容無誤。

應(yīng)提供的相關(guān)文件如未于行動(dòng)投保頁面呈現(xiàn)者，應(yīng)另行提供紙質(zhì)文本。

（五）資訊安全控管應(yīng)遵循事項(xiàng)

各會(huì)員辦理該業(yè)務(wù)的資訊安全控管應(yīng)遵循下列事項(xiàng)：對于業(yè)務(wù)員登錄行動(dòng)裝置操作系統(tǒng)的身份認(rèn)證安全控管，應(yīng)依設(shè)定密碼的安全控管作業(yè)進(jìn)行密碼設(shè)定與身份驗(yàn)證；辦理該業(yè)務(wù)輸入的要保數(shù)據(jù)，均應(yīng)以加密方式儲存，并須以賬戶及密碼登錄后，始能查閱相關(guān)內(nèi)容；不得將客戶個(gè)人數(shù)據(jù)儲存于行動(dòng)裝置，如因聯(lián)機(jī)問題無法實(shí)時(shí)回傳系統(tǒng)時(shí)，應(yīng)將已輸入數(shù)據(jù)文件以AES加密或相當(dāng)?shù)燃壱陨系募用芊绞綍捍嬗谛袆?dòng)裝置至多24小時(shí)，并不得以任何方式轉(zhuǎn)存，逾時(shí)將自動(dòng)刪除或封鎖，以確保資訊安全；已簽署的要保數(shù)據(jù)傳輸至主機(jī)系統(tǒng)時(shí)，系統(tǒng)應(yīng)即同步刪除行動(dòng)裝置留存的要保數(shù)據(jù)；業(yè)務(wù)員登錄密碼應(yīng)定期更換，頻率不得高于90天，逾期未變更者，各會(huì)員應(yīng)暫停其系統(tǒng)登錄的權(quán)限，以避免盜用的情形；明訂業(yè)務(wù)員遺失行動(dòng)裝置的標(biāo)準(zhǔn)通報(bào)流程以及接獲通報(bào)后的標(biāo)準(zhǔn)處理作業(yè)流程；建立備援機(jī)制相關(guān)規(guī)范；定期檢視該業(yè)務(wù)相關(guān)資訊系統(tǒng)的安全性及資訊安全控管制度的有效性，并依檢視結(jié)果，實(shí)行必要的矯正與預(yù)防措施。

（六）歸檔資料的保存

各會(huì)員對于辦理該業(yè)務(wù)已歸檔儲存的電子要保書等相關(guān)數(shù)據(jù)，其保存期限不得低于契約期滿或通知要保人不同意承保后五年。

（七）客戶申訴及抱怨

各會(huì)員應(yīng)設(shè)置免費(fèi)服務(wù)專線處理客戶因該業(yè)務(wù)引發(fā)的申訴與抱怨，對客戶的申訴與抱怨應(yīng)積極進(jìn)行處理，并迅速給予妥適響應(yīng)。

（八）保險(xiǎn)犯罪通報(bào)

各會(huì)員辦理該業(yè)務(wù)，若發(fā)現(xiàn)有疑似保險(xiǎn)犯罪情形，應(yīng)通報(bào)有關(guān)機(jī)關(guān)。

（九）納入內(nèi)稽內(nèi)控

各會(huì)員辦理該業(yè)務(wù)，應(yīng)將自律規(guī)范內(nèi)容納入內(nèi)部控制及內(nèi)部稽核項(xiàng)目，并依據(jù)“保險(xiǎn)業(yè)內(nèi)部控制及稽核制度實(shí)施辦法”相關(guān)規(guī)定辦理。違反該自律規(guī)范，經(jīng)查核屬實(shí)者，可經(jīng)所屬公會(huì)理監(jiān)事會(huì)決議后視情節(jié)輕重予以糾正，或處以新臺幣20萬元以上60萬元以下的罰款，并呈報(bào)主管機(jī)關(guān)。各會(huì)員所屬公會(huì)未依前項(xiàng)規(guī)定申報(bào)或處理者，主管機(jī)關(guān)應(yīng)作必要的處置。各會(huì)員的業(yè)務(wù)員（含電話營銷人員）或業(yè)務(wù)主管有違反該自律規(guī)范的情形者，其所屬公司應(yīng)依據(jù)“保險(xiǎn)業(yè)務(wù)員管理規(guī)則”及“保險(xiǎn)業(yè)招攬及核保理賠辦法”相關(guān)規(guī)定予以懲處，并函報(bào)所屬公會(huì)備查。

四、結(jié)束語

2015年7月16日，我國首個(gè)金融資訊行業(yè)協(xié)會(huì)上海金融資訊行業(yè)協(xié)會(huì)成立，該協(xié)會(huì)將與政府部門、相關(guān)行業(yè)協(xié)會(huì)、金融機(jī)構(gòu)一起，共同推進(jìn)互聯(lián)網(wǎng)金融行業(yè)規(guī)范有序的發(fā)展。金融資訊的行業(yè)概念要遠(yuǎn)早于互聯(lián)網(wǎng)金融，在“互聯(lián)網(wǎng)+”時(shí)代，在IT資訊行業(yè)和金融行業(yè)不斷進(jìn)行產(chǎn)業(yè)融合的當(dāng)下，其內(nèi)涵和外延都得到了不斷的豐富和發(fā)展。金融資訊行業(yè)協(xié)會(huì)的成立有助于推動(dòng)P2P平臺加強(qiáng)資訊披露，提升行業(yè)透明度，保護(hù)投資人利益。

2015年7月18日，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》對外發(fā)布，明確提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、互聯(lián)網(wǎng)保險(xiǎn)和互聯(lián)網(wǎng)消費(fèi)金融等。在政策環(huán)境向好的大形勢下，“互聯(lián)網(wǎng)+金融”熱極一時(shí)，但互聯(lián)網(wǎng)金融行業(yè)的異軍突起也給了投機(jī)分子可乘之機(jī)?！盎ヂ?lián)網(wǎng)+金融”在進(jìn)入快車道的同時(shí)，平臺漏洞、系統(tǒng)漏洞亦如影隨形。建議借鑒前述我國臺灣地區(qū)保險(xiǎn)業(yè)資訊安全防護(hù)方面的已有經(jīng)驗(yàn)，并采取相關(guān)措施抵御風(fēng)險(xiǎn)。SIM