該案裁罰案違法事實理由，筆者將分兩篇來說明，今天先說明其中兩個重點部分。

《有關資訊安全之違法事項：》
(一)違法事項理由第一項，可分成下列四點：

A.辦理資訊安全作業，未建置事件風險評估及因應處理措施；
B.未規範防火牆檢視作業之重點原則項目，對於採高風險連線功能者，亦未一併規範納入評估其安全性及必要性；
C.伺服器主機特殊權限帳號未依內部規定辦理密碼變更；
D.個人電腦之軟體維護僅仰賴每半年定期保養作業，致眾多個人電腦安裝之軟體存有資安弱點，核有礙健全經營之虞。

(四)辦理資訊系統之安全控制作業，如：行動應用程式首次上架或權限異動，以及對於系統廠商定期或不定期發佈重大安全性問題，有未依內部規定進行審視及風險評估等情事，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。

保險業內部控制及稽核制度實施辦法：

《筆者分析》：

富邦產險的這個個案，違法事項理由(一)A.B.兩點，筆者先做說明，並簡化成以下說明，

A. 辦理資訊安全作業，未建置事件風險評估及因應處理措施：
本事實主要是討論，如何建立資訊安全作業的內控辦法的風險評估及因應措施？筆者以行政院主計總處的範例，簡單說明建置流程當中的步驟，本次範例共有六個步驟，六張張表，分別是：影響敘述分類表、機率之敘述分類表、內部控制度風險登錄表、主要風險項目彙總表、風險圖像、作業程序說明表，建置方式如下：

(1) 機率之敘述分類表：首先分出風險等級。

(2) 影響敘述分類表：從風險等級後，再詳細分析事件後續嚴重度及該揭漏哪些資訊。

(3) 內部控制度風險登錄表：依照內部控制制度，提出報告，區分責任單位，做風險分析，最後核算出風險係數。

(4) 主要風險項目彙總表：以各單位責任，進行各項風險評估。

(5) 風險圖像：將(4)步驟結論，放入橫軸為風險分布，縱軸為嚴重影響的四象限位置，判斷其風險分布。

(6) 作業程序說明表：彙整上述五個步驟，制定內部控制制度，內稽即以此為原則進行內部稽核。其中包含作業程序、控制重點、使用表單及法令依據，這就是資安制度建立的產出。

由上述六個步驟可以了解，建立制度是有其邏輯性，而非直接拿別家的制度copy過來，就可以實施，前置作業如果未完善，沒有考慮風險性，這樣所訂定的制度必定會有其漏洞，且容易誤判風險，以上行政院主計處的案例給大家做參考，也了解資訊安全制度建立並非沒有邏輯跟步驟。

B. 未規範防火牆檢視作業之重點原則項目，對於採高風險連線功能者，亦未一併規範納入評估其安全性及必要性：
關於防火牆檢視作業之重點，金管會有要求保險業需制定『保險業辦理資訊安全防護自律規範』，可參考保險同業公會的範本連結：http://www.lia-roc.org.tw/index06/law/%E5%A3%BD%E9%9A%AA%E6%A5%AD%E8%BE%A6%E7%90%86%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E8%87%AA%E5%BE%8B%E8%A6%8F%E7%AF%84.htm

主要該點的違反事實的部分是在該部分：

由此點可知，本次事件當中，該公司應該有些較高風險的連線沒有設定到防火牆防護內，因此被記了違法事實。

其餘的違法事實，筆者將於明天再做說明。