iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 7
2
Security

資安裁罰案件分析系列 第 7

DAY 7 第六件裁罰案(1) 金管會保險局裁罰對象:富邦產物保險股份有限公司 裁罰日期:109/3/20

該案裁罰案違法事實理由,筆者將分兩篇來說明,今天先說明其中兩個重點部分。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482oPVM8Q0Rp7.jpg

《有關資訊安全之違法事項:》
(一)違法事項理由第一項,可分成下列四點:

A.辦理資訊安全作業,未建置事件風險評估及因應處理措施;
B.未規範防火牆檢視作業之重點原則項目,對於採高風險連線功能者,亦未一併規範納入評估其安全性及必要性;
C.伺服器主機特殊權限帳號未依內部規定辦理密碼變更;
D.個人電腦之軟體維護僅仰賴每半年定期保養作業,致眾多個人電腦安裝之軟體存有資安弱點,核有礙健全經營之虞。

(四)辦理資訊系統之安全控制作業,如:行動應用程式首次上架或權限異動,以及對於系統廠商定期或不定期發佈重大安全性問題,有未依內部規定進行審視及風險評估等情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。

保險業內部控制及稽核制度實施辦法:

https://ithelp.ithome.com.tw/upload/images/20200921/20107482jxxAsLeZrr.jpg

《筆者分析》

富邦產險的這個個案,違法事項理由(一)A.B.兩點,筆者先做說明,並簡化成以下說明,

A. 辦理資訊安全作業,未建置事件風險評估及因應處理措施
本事實主要是討論,如何建立資訊安全作業的內控辦法的風險評估及因應措施?筆者以行政院主計總處的範例,簡單說明建置流程當中的步驟,本次範例共有六個步驟,六張張表,分別是:影響敘述分類表、機率之敘述分類表、內部控制度風險登錄表、主要風險項目彙總表、風險圖像、作業程序說明表,建置方式如下:

(1) 機率之敘述分類表:首先分出風險等級。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482xJQfyQhsAU.jpg

(2) 影響敘述分類表:從風險等級後,再詳細分析事件後續嚴重度及該揭漏哪些資訊。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482kFxeszLll8.jpg

(3) 內部控制度風險登錄表:依照內部控制制度,提出報告,區分責任單位,做風險分析,最後核算出風險係數。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482ofHx3USwgM.jpg

(4) 主要風險項目彙總表:以各單位責任,進行各項風險評估。

https://ithelp.ithome.com.tw/upload/images/20200921/2010748277iMyoJPeP.jpg

(5) 風險圖像:將(4)步驟結論,放入橫軸為風險分布,縱軸為嚴重影響的四象限位置,判斷其風險分布。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482xN71Gyqju9.jpg

(6) 作業程序說明表:彙整上述五個步驟,制定內部控制制度,內稽即以此為原則進行內部稽核。其中包含作業程序、控制重點、使用表單及法令依據,這就是資安制度建立的產出。

https://ithelp.ithome.com.tw/upload/images/20200921/20107482fsADC3UiX1.jpg

由上述六個步驟可以了解,建立制度是有其邏輯性,而非直接拿別家的制度copy過來,就可以實施,前置作業如果未完善,沒有考慮風險性,這樣所訂定的制度必定會有其漏洞,且容易誤判風險,以上行政院主計處的案例給大家做參考,也了解資訊安全制度建立並非沒有邏輯跟步驟。

B. 未規範防火牆檢視作業之重點原則項目,對於採高風險連線功能者,亦未一併規範納入評估其安全性及必要性
關於防火牆檢視作業之重點,金管會有要求保險業需制定『保險業辦理資訊安全防護自律規範』,可參考保險同業公會的範本連結:http://www.lia-roc.org.tw/index06/law/%E5%A3%BD%E9%9A%AA%E6%A5%AD%E8%BE%A6%E7%90%86%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E8%87%AA%E5%BE%8B%E8%A6%8F%E7%AF%84.htm

主要該點的違反事實的部分是在該部分:
https://ithelp.ithome.com.tw/upload/images/20200921/2010748222AU5TXRlo.jpg

由此點可知,本次事件當中,該公司應該有些較高風險的連線沒有設定到防火牆防護內,因此被記了違法事實。

其餘的違法事實,筆者將於明天再做說明。


上一篇
DAY 6 第五件裁罰案 金管會保險局裁罰對象:遠雄人壽保險事業股份有限公司 裁罰日期:109/3/24
下一篇
DAY 8 第六件裁罰案(2) 金管會保險局裁罰對象:富邦產物保險股份有限公司 裁罰日期:109/3/20
系列文
資安裁罰案件分析30

1 則留言

1
SunAllen
iT邦研究生 1 級 ‧ 2020-09-21 12:36:15

看來他們很多該做的都沒做~~

彭偉鎧 iT邦新手 3 級 ‧ 2020-09-21 13:23:13 檢舉

應該是有,但是沒做得很好!

我要留言

立即登入留言