違反個資、保險法等規定 資安7疏失 南山再吞罰單

瀏覽數

99+

【魏喬怡/台北報導】

 南山人壽短短一個月內,吃了三張金管會罰單!金管會上月才對南

山連開二張罰單,共罰780萬元,17日金管會進行金檢時又查到南山

在辦理電子商務系統業務時有違反個人資料保護法、洗錢防制法及保

險法相關規定,針對七項疏失開罰240萬元加四項糾正,並限期一個

月內改善。

 金管會指出,此次開罰主要是檢查局在做資安相關檢查時發現的疏

失,與境界之亂的系統疏失不同。七大疏失包括一、辦理網路投保旅

平險業務時,有未進行客戶姓名檢核作業情事,已違反洗錢防制法有

關「金融機構防制洗錢辦法」及保險法「保險業內部控制及稽核制度

實施辦法」。

 二、南山人壽訂的應用系統安全管理作業手冊及各應用系統開發手

冊等規範內容有欠完備,不利確保應用程式變更之正確性及系統維運

安全。

 三、南山委託外部資安廠商之網路監控服務,經查其對控管服務方

式之決定有延宕情形。另該公司有未建立非屬重大資安事故事件處理

程序之情事。且該公司辦理行動裝置應用程式(APP)維護管理作業

,所訂關於行動應用程式上架、安全性檢測、發布與更新等作業之規

範,有違分工牽制原則。另該公司尚有未依所訂內部規範,定期辦理

APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業之情

事。

 四、南山人壽資訊安全政策係由總經理核定施行之「資訊安全準則

」,未提報董事會,核定層級有欠妥適;對於應收集、監控之系統稽

核軌跡或日誌紀錄(log)範圍尚未明確規範,及未就安全性資訊與

事件管理平台監控所發現異常事件之後續處理程序,明確訂定於系統

稽核軌跡或日誌紀錄之相關內部管理規範;對資料庫存取授權管理欠

妥,未落實最小授權原則;電子商務系統之部分安全設計項目,未符

合所訂內規之安全要求。

 五、南山人壽網路投保之個資可複製至個人電腦,並無稽核軌跡及

管控措施。

 六、將正式作業主機之個資檔案及資料庫複製至開發測試主機作業

,有未去識別化之情形。

 七、南山人壽電子商務系統之安全設計涉及個人資料,尚未妥適隱

碼顯示。

熱門搜尋關鍵字: