《有關資訊安全之違法事項:》
(二)該分公司自行辦理伺服器管理作業,對伺服器之高權限帳號及密碼之管理情形,有欠妥適,核有礙健全經營之虞。
(三)電子郵件對外傳輸之資料保護管控機制,有不利防範個資外洩情事,核有礙健全經營之虞。
《筆者分析》:
法商巴黎人壽台灣分公司被裁罰兩項有關資安的部分,都有共同的結論『有礙健全經營之虞』
,而這兩項裡面,一個是沒有妥適管理自行辦理的伺服權限及密碼管理,另一方面就是個資外洩的問題。
關於自辦伺服器的管理問題,筆者無法從該違法事項了解詳細的情形,只是如果權限設定錯誤,高低階開放層級設定錯誤,這樣可能讓低階者看到較高階所能讀到的資料,增加企業洩密的風險性,在此情況下,企業應該對於資料管控上,要採行加密措施,多一層加密防護,就能減低系統權限設定時,未注意的部分的風險性。
此外,就電子郵件傳輸管控,對外傳輸時,也應該要求加密措施,尤其資料又有個資的問題,應該要求對外信件,盡量將敏感資料屏蔽,尤其以人壽保險業而言,有些郵件內容會涉及被保險人的私密資料,例如健康相關問題,為避免不慎洩漏這些較敏感的資料,在寄送郵件時,盡量將內容以附件及密碼方式隱藏,落實保護控管客戶的機制。
以上這兩項,在此次裁罰案裡,僅提出糾正,罰款主要是違法事實理由的(ㄧ)做出裁罰,這類糾正案,要靠內部控制配合改善,未來由稽核單位強化內部稽核來確認改善之結果,並提出追蹤改善報告,將結果上傳至申報的網站上,以供日後的查核之用。
第一條,看起來像是沒有用到『特權帳號管理系統』。
第二條...往25port傳資料? 應該不會吧...
其實是有可能的,因為裁罰內容寫得很簡單,也沒詳細描述,所以他可能沒有用憑證或加密管理權限,另外外商公司其實用一般的SMTP傳送郵件是常有的事情,外國月亮不見得都是圓的,尤其是法國!哈!罰了就知道還是要外包比較省事!