保險業應設置資訊安全專責單位及主管,不得兼辦資訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。但主管機關對保險合作社另有規定者,依其規定。
保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者,應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安全政策推動及資源調度事務,且應設置具職權行使獨立性之資訊安全專責單位,並指派協理以上或職責相當之人擔任資訊安全專責單位主管。
保險業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年應將前一年度資訊安全整體執行情形,由資訊安全長(無資訊安全長者,由資訊安全專責單位主管)與第二十五條第一項人員聯名出具內部控制制度聲明書,提報董(理)事會通過。
保險業資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、商品開發管理單位、資金運用單位、資訊單位、資產保管單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課程。
適用第二項規定之保險業,應於符合適用條件起六個月內調整。