【中央社/記者謝方娪/台北22日電】2021-03-22
金管會保險局表示,三商美邦人壽作業系統的安全管理流程有數項缺失,未落實執行內控,依法核處新台幣120萬元,並予以糾正。
金融監督管理委員會保險局今天公布對三商美邦人壽裁罰案,針對安全管理流程、資安作業相關缺失,開出新台幣120萬元罰單,並予以1項糾正。
保險局表示,三商美邦人壽辦理保險核心業務主機作業系統的安全管理流程,未落實執行內控,且辦理應用系統開發維護、資料變更作業時,所訂內部規定和系統測試環境建立不夠周延,以致2020年5月下單測試資料遭傳送至正式伺服器並成交,明顯違反保險法。
保險局指出,三商美邦人壽辦理Linux作業系統的安全管理流程,未訂定相關系統參數檢核表並建立定期檢視機制,以致密碼原則和所訂內部規定不符,且Windows系統主機網域使用者密碼變更作業和所訂內部規定也不相符,顯示公司未落實執行內控。
此外,三商美邦人壽辦理資安作業時,有未建立伺服器系統檔案定期清理機制、未辦理主機目錄或檔案存取權的定期評估機制、未開啟重要稽核原則、未訂定資安情資或警訊通報處理標準程序等4項缺失,保險局並指出,三商美邦人壽對外網站存有資安弱點,不利對外網站的安全維護,以上皆有礙健全經營。
金管會提醒,保險業應加強對主機系統的安全管理,並確實辦理各項定期檢核,維護主機系統安全;且保險業辦理應用系統測試作業時,應研擬對應的測試情境並建立對參數及環境的檢視機制,全面清查系統測試環境建立的妥適性。