iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 3
2
Security

資安裁罰案件分析系列 第 3

DAY 3 第二件裁罰案 金管會保險局裁罰對象:法商法國巴黎人壽保險(股)公司台灣分公司 裁罰日期:109/5/19

https://ithelp.ithome.com.tw/upload/images/20200916/20107482CJfEhkQa3r.jpg

《有關資訊安全之違法事項:》
(二)該分公司自行辦理伺服器管理作業,對伺服器之高權限帳號及密碼之管理情形,有欠妥適,核有礙健全經營之虞。
(三)電子郵件對外傳輸之資料保護管控機制,有不利防範個資外洩情事,核有礙健全經營之虞。

《筆者分析》:

法商巴黎人壽台灣分公司被裁罰兩項有關資安的部分,都有共同的結論『有礙健全經營之虞』,而這兩項裡面,一個是沒有妥適管理自行辦理的伺服權限及密碼管理,另一方面就是個資外洩的問題。

關於自辦伺服器的管理問題,筆者無法從該違法事項了解詳細的情形,只是如果權限設定錯誤,高低階開放層級設定錯誤,這樣可能讓低階者看到較高階所能讀到的資料,增加企業洩密的風險性,在此情況下,企業應該對於資料管控上,要採行加密措施,多一層加密防護,就能減低系統權限設定時,未注意的部分的風險性。

此外,就電子郵件傳輸管控,對外傳輸時,也應該要求加密措施,尤其資料又有個資的問題,應該要求對外信件,盡量將敏感資料屏蔽,尤其以人壽保險業而言,有些郵件內容會涉及被保險人的私密資料,例如健康相關問題,為避免不慎洩漏這些較敏感的資料,在寄送郵件時,盡量將內容以附件及密碼方式隱藏,落實保護控管客戶的機制。

以上這兩項,在此次裁罰案裡,僅提出糾正,罰款主要是違法事實理由的(ㄧ)做出裁罰,這類糾正案,要靠內部控制配合改善,未來由稽核單位強化內部稽核來確認改善之結果,並提出追蹤改善報告,將結果上傳至申報的網站上,以供日後的查核之用。


上一篇
DAY 2 第一件裁罰案 金管會保險局 裁罰對象:宏泰人壽保險(股)公司 裁罰日期:109/8/11
下一篇
DAY 4 第三件裁罰案 金管會保險局裁罰對象:泰安保險(股)公司 裁罰日期:109/4/30
系列文
資安裁罰案件分析30

1 則留言

1
SunAllen
iT邦研究生 1 級 ‧ 2020-09-17 20:50:40

第一條,看起來像是沒有用到『特權帳號管理系統』。

第二條...往25port傳資料? 應該不會吧...

彭偉鎧 iT邦新手 3 級 ‧ 2020-09-17 21:14:36 檢舉

其實是有可能的,因為裁罰內容寫得很簡單,也沒詳細描述,所以他可能沒有用憑證或加密管理權限,另外外商公司其實用一般的SMTP傳送郵件是常有的事情,外國月亮不見得都是圓的,尤其是法國!哈!罰了就知道還是要外包比較省事!

我要留言

立即登入留言