承前篇，讓我們繼續看下去~~

《有關資訊安全之違法事項：》
(二) 分成下列四點：

A.辦理資訊安全作業，未建置事件風險評估及因應處理措施；
B.未規範防火牆檢視作業之重點原則項目，對於採高風險連線功能者，亦未一併規範納入評估其安全性及必要性；
C.伺服器主機特殊權限帳號未依內部規定辦理密碼變更；
D.個人電腦之軟體維護僅仰賴每半年定期保養作業，致眾多個人電腦安裝之軟體存有資安弱點，核有礙健全經營之虞。

(四)辦理資訊系統之安全控制作業，如：行動應用程式首次上架或權限異動，以及對於系統廠商定期或不定期發佈重大安全性問題，有未依內部規定進行審視及風險評估等情事，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。

《筆者分析》：

承上篇，討論該案件剩餘的幾點違法事項：

C. 伺服器主機特殊權限帳號未依內部規定辦理密碼變更：針對密碼，筆者分享行政院版本的密碼管理要點給大家參考，但是，有人認為如果密碼複雜化，應該可以一段時間再更新，否則三個月更新一次，搞到最後都會忘記，這就看公司內規如何制定了。本案是未依內規，內規如何訂定，這筆者無法得知了，但嚴格規定是應該的。

使用者通行碼之管理：
1、使用者選擇及使用通行碼時，應遵守機關資訊安全規定。
2、應依下列原則配賦、管理及使用通行碼：
（1） 以嚴謹的程序核發通行碼，明確規定使用者應負的責任。
（2） 個人應負責保護通行碼，維持通行碼的機密性。
（3） 應避免將通行碼記錄在書面上，或張貼在個人電腦或終端機螢幕或其他容易洩漏秘密之場所。
（4） 當有跡象足以顯示系統及使用者密碼可能遭破解時，應立即更改密碼。
（5） 使用者密碼的長度最少應由六位長度組成。
（6） 應儘量避免以下列事項作為通行密碼：
     ‧年、月、日等時間資訊。
     ‧個人姓名、出生日、身分證字號或汽機車牌照號碼。
     ‧機關、單位名稱、識別代碼或是其他相關事項。
     ‧電話號碼。
     ‧使用者識別碼、使用者姓名、群體使用者之識別碼或是其他系統識別碼。
     ‧重複出現兩個字以上的識別字碼。
    ‧以全部數字或是全部字母組成密碼。
    ‧英文或是其他外文字典的字。
    ‧電腦上使用者的名字。
    ‧電腦主機名稱、作業系統名稱。
    ‧地方名稱。
    ‧專有名詞。
    ‧任何人的名字。
（7） 使用者第一次登入系統時，系統應要求更改臨時性通行碼。
（8） 自動化登入系統之通行碼，不宜存放在巨集或是功能鍵中。
（9） 應定期更換通行碼，原則上以每三個月更新一次為原則，最長不得超過六個月；應儘量避免重複或循環使用舊的通行碼。
（10）對有存取系統公用程式等特別權限的帳號，使用者密碼的更改頻率應較一般通行碼的更改周期為高。
3、須存取多人使用之系統，或須進入不同的系統平台，應考量使用安全等級較高較高的通行碼。（例如:使用單向加密演算法將通行碼加密）

D. 個人電腦之軟體維護僅仰賴每半年定期保養作業，致眾多個人電腦安裝之軟體存有資安弱點，核有礙健全經營之虞：有關於個人電腦更新，筆者認為如果經MIS審核過後，應該隨時提供安全性更新，雖然，有的公司的確是半年提供一次保養作業，畢竟個人電腦在ㄧ家大公司裡面，可不是一台兩台的，所以早期的做法，的確是有這類規定，只是資安抬頭的時代，尤其是這類比較大型的保險公司，做法上應該也需要改變才對。

(四)辦理資訊系統之安全控制作業，如：行動應用程式首次上架或權限異動，以及對於系統廠商定期或不定期發佈重大安全性問題，有未依內部規定進行審視及風險評估等情事，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。

筆者根據查核違法事實的兩項舉例做說明：
(1) 行動應用程式首次上架或權限異動：行動程式應該在合法的程式商店發佈，同時要詳細說明欲存取的資料及權現，同時首次發佈時應經資安、法遵單位同意，並留下記錄，除了保護個資，也可以留下使用軌跡，日後有任何問題產生，方便系統查詢。
(2) 對於系統廠商定期或不定期發佈重大安全性問題，有未依內部規定進行審視及風險評估等情事：此部分前篇已經提過，MIS要定期審核安全性更新，最好能夠依更新內容，做出風險分級。

有關這個案件，筆者認為可能是太久沒更新資訊安全控制作業的內控內容，所以被查出這幾項缺失，結果連同事業相關違規，全部一起被罰了120萬元，因此大家可以明白，保險局查核違規事項是非常嚴格的，切莫抱存著僥倖的心態!