承前篇,讓我們繼續看下去~~
《有關資訊安全之違法事項:》
(二) 分成下列四點:
A.辦理資訊安全作業,未建置事件風險評估及因應處理措施;
B.未規範防火牆檢視作業之重點原則項目,對於採高風險連線功能者,亦未一併規範納入評估其安全性及必要性;
C.伺服器主機特殊權限帳號未依內部規定辦理密碼變更;
D.個人電腦之軟體維護僅仰賴每半年定期保養作業,致眾多個人電腦安裝之軟體存有資安弱點,核有礙健全經營之虞。
(四)辦理資訊系統之安全控制作業,如:行動應用程式首次上架或權限異動,以及對於系統廠商定期或不定期發佈重大安全性問題,有未依內部規定進行審視及風險評估等情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。
《筆者分析》:
承上篇,討論該案件剩餘的幾點違法事項:
C. 伺服器主機特殊權限帳號未依內部規定辦理密碼變更:針對密碼,筆者分享行政院版本的密碼管理要點給大家參考,但是,有人認為如果密碼複雜化,應該可以一段時間再更新,否則三個月更新一次,搞到最後都會忘記,這就看公司內規如何制定了。本案是未依內規,內規如何訂定,這筆者無法得知了,但嚴格規定是應該的。
使用者通行碼之管理:
1、使用者選擇及使用通行碼時,應遵守機關資訊安全規定。
2、應依下列原則配賦、管理及使用通行碼:
(1) 以嚴謹的程序核發通行碼,明確規定使用者應負的責任。
(2) 個人應負責保護通行碼,維持通行碼的機密性。
(3) 應避免將通行碼記錄在書面上,或張貼在個人電腦或終端機螢幕或其他容易洩漏秘密之場所。
(4) 當有跡象足以顯示系統及使用者密碼可能遭破解時,應立即更改密碼。
(5) 使用者密碼的長度最少應由六位長度組成。
(6) 應儘量避免以下列事項作為通行密碼:
‧年、月、日等時間資訊。
‧個人姓名、出生日、身分證字號或汽機車牌照號碼。
‧機關、單位名稱、識別代碼或是其他相關事項。
‧電話號碼。
‧使用者識別碼、使用者姓名、群體使用者之識別碼或是其他系統識別碼。
‧重複出現兩個字以上的識別字碼。
‧以全部數字或是全部字母組成密碼。
‧英文或是其他外文字典的字。
‧電腦上使用者的名字。
‧電腦主機名稱、作業系統名稱。
‧地方名稱。
‧專有名詞。
‧任何人的名字。
(7) 使用者第一次登入系統時,系統應要求更改臨時性通行碼。
(8) 自動化登入系統之通行碼,不宜存放在巨集或是功能鍵中。
(9) 應定期更換通行碼,原則上以每三個月更新一次為原則,最長不得超過六個月;應儘量避免重複或循環使用舊的通行碼。
(10)對有存取系統公用程式等特別權限的帳號,使用者密碼的更改頻率應較一般通行碼的更改周期為高。
3、須存取多人使用之系統,或須進入不同的系統平台,應考量使用安全等級較高較高的通行碼。(例如:使用單向加密演算法將通行碼加密)
D. 個人電腦之軟體維護僅仰賴每半年定期保養作業,致眾多個人電腦安裝之軟體存有資安弱點,核有礙健全經營之虞:有關於個人電腦更新,筆者認為如果經MIS審核過後,應該隨時提供安全性更新,雖然,有的公司的確是半年提供一次保養作業,畢竟個人電腦在ㄧ家大公司裡面,可不是一台兩台的,所以早期的做法,的確是有這類規定,只是資安抬頭的時代,尤其是這類比較大型的保險公司,做法上應該也需要改變才對。
(四)辦理資訊系統之安全控制作業,如:行動應用程式首次上架或權限異動,以及對於系統廠商定期或不定期發佈重大安全性問題,有未依內部規定進行審視及風險評估等情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第6款及第8款規定不符。
筆者根據查核違法事實的兩項舉例做說明:
(1) 行動應用程式首次上架或權限異動:行動程式應該在合法的程式商店發佈,同時要詳細說明欲存取的資料及權現,同時首次發佈時應經資安、法遵單位同意,並留下記錄,除了保護個資,也可以留下使用軌跡,日後有任何問題產生,方便系統查詢。
(2) 對於系統廠商定期或不定期發佈重大安全性問題,有未依內部規定進行審視及風險評估等情事:此部分前篇已經提過,MIS要定期審核安全性更新,最好能夠依更新內容,做出風險分級。
有關這個案件,筆者認為可能是太久沒更新資訊安全控制作業的內控內容,所以被查出這幾項缺失,結果連同事業相關違規,全部一起被罰了120萬元,因此大家可以明白,保險局查核違規事項是非常嚴格的,切莫抱存著僥倖的心態!