保險業使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業,並應依所屬商業同業公會訂定之自律規範辦理:
一、資訊處理部門之功能及職責劃分。
二、系統開發及程式修改之控制。
三、編製系統文書之控制。
四、程式及資料之存取控制。
五、資料輸出入之控制。
六、資料處理之控制。
七、電腦機房門禁之控制。
八、系統、檔案及電腦、通訊設備之安全控制。
九、硬體及系統軟體之購置、使用及維護之控制。
十、電腦病毒擴散及網路駭客入侵之防範控制。
十一、系統復原計畫、災變備援計畫及測試程序之控制。
十二、核心業務委外處理之控制。
十三、客戶及公司機密資料之保密及安全防範控制。
十四、電腦犯罪之防範控制。
中華民國人壽保險商業同業公會及中華民國產物保險商業同業公會應訂定並定期檢討資訊安全自律規範。