文/紀佳妘
金管會公布一項新裁罰案,兆豐產險管理電商系統,被揪出3項缺失,包括核心系統委外開發管控不足、對弱點的後續修補作業欠妥善等違反保險法相關規定,一共開罰120萬元,並予以2項糾正。
金管會表示,兆豐產險管理電子商務系統,有3項缺失違反保險法相關規定,首先是公司2018年9月增設資訊安全專責單位,依法應配置適當人力資源及設備,負責規劃、監控及執行資訊安全管理作業,但這次檢查發現有系統弱點修補管控欠妥,造成多項嚴重風險未能及時修補。
除此之外,防火牆規則設定審核欠落實,造成設定寬鬆,以及未建立重要日誌監控、告警機制等資安防護作業欠妥情況,顯示資安專責單位未能妥適行使職權及有效發揮監督功能,核處罰鍰60萬元。
第二,兆豐產險所訂「應用系統開發與維護管理作業須知」未明訂新系統開發應辦理技術與安全性可行性評估,導致辦理核心系統委外開發,有公司內部技術管控能力不足等缺失,不利資訊安全;另提供保經代使用的應用系統,金管會查有未落實執行內部控制制度情事,核處罰鍰60萬元。
第三,針對就資訊安全管理,有專責單位提報董事會內容欠完整、未制定憑證(金鑰)、容器化伺服器叢聚環境(cluster)、重要性主機監控、特權帳號、網頁應用程防火牆等管理規範與相關作業程序、對弱點的後續修補作業欠妥等缺失。
另外,對於委外廠商管理,有未能於個別委外契約中,要求廠商落實相關緊急應變計畫、未取得程式原始碼的系統未積極強化,委外作業期間的風險管控等缺失,皆違反法令,或有礙健全經營之虞,這部分一共核處2項糾正。
金管會指出,已請兆豐產險儘速建置或完備電子商務系統相關安全管理規範及標準作業程序,並配置適當人力落實執行,才能有效發揮管控功能,確保資訊安全。
《延伸閱讀》
《誤會大了!簽「手術同意書」未必是手術 癌男討162萬保險金慘被拒》
《保險金報稅有眉角!壽險、勞退申報標準差很大 另有3種保險全免稅》
《想解3.25%美元儲蓄險入股市 內行人搖頭獻計:理財、投資兩不誤》
《疫情升級必看!錯過500元防疫保單、疫苗險怎麼買 2張圖比出理賠、承保條件差異》
《用投資型保險養儲蓄險!網友狂推一招同時入手2類保單:真的不後悔》