《有關資訊安全之違法事項:》
三、裁罰之法令依據:個人資料保護法第48條第4款規定。
四、違反事實理由:
(三)辦理資訊安全管理作業,查有下開欠妥情事,核有礙健全經營之虞,如:辦理防火牆檢視作業,未規範防火牆檢視作業之重點原則項目,且對防火牆作業欠確實;辦理應用系統開發、取得及維護作業,應用程式版本異動及上線作業規範欠明確;辦理原始碼檢測及弱點掃描作業,未明確規範應對檢測出各級別風險弱點覈實評估其對應用程式安全之實質影響及採取妥適後續因應處理措施,並研擬修補時程,訂定規範有欠嚴謹。又對原始碼檢測結果所檢測出「嚴重」(CRITICAL)風險等級弱點及「高」(HIGH) 風險等級弱點未予修補;對於老舊伺服器業經原服務廠商公告停止提供更新及漏洞修補等服務(EOS),惟未評估其影響性及研擬因應措施。
(四)未就外部網路入侵及非法或異常使用行為所致之個資外洩情境,研擬演練計畫,並定期演練及檢討改善,與個人資料保護法第27條第3項授權訂定「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第3項之規定不符。
金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法:
《筆者分析》
目前金管會有要求保險業需訂定『保險業辦理資訊安全防護自律規範』,在金管會查核時,會針對其內部控制制度,以及資安防護自律規範,做一系列檢查,本次查核,違規事實有
(1) 防火牆作業未確實
(2) 應用程式版本異動及上線作業規範欠明確
(3) 原始碼修補未妥善分級
(4) 原始碼檢測出弱點未修補
(5) 伺服器停止服務未評估後續影響。
(6) 未研擬演練計畫及定期演練及檢討改善。
由於保險業從103年之後,就推行保險電子商務,因此許多服務都轉向線上處理,其中包括:車險-強制險、任意險、強制險附加傷害險住宅火險、地震險、住家綜合保險、旅平險、傷害險、定期壽險等等,很多業務都轉向雲端來進行處理,例如:雲端電子保單、雲端理賠等等。
因此,主管機關對於保險業的電子商務平台要求自然比較嚴格,此案裁罰是120萬元
。筆者認為,這些不只是保險業需要被要求,一般公開發行公司乃至金控,都可以參考該方式辦理,強化金融檢查機制,並請專業審查人員覆核企業資安執行狀況,長遠來說,也是協助企業建立及認識資安觀念的一種方法。