接下來就開始介紹2019年(108年度)下半年的裁罰案件。

《有關資訊安全之違法事項：》
(二)辦理利害關係人交易對象之建檔作業、保險商品費用適足性檢測作業、取處不動產鑑價作業、保經代通路業務品質控管作業、客戶洗錢風險等級評估及自建名單資料庫更新、防制洗錢及打擊資恐交易持續監控作業、行動裝置應用程式(APP)作業、網路管理作業、資安評估作業及社交工程演練及伺服器管理作業等缺失事項，核有礙公司健全經營之虞。
(三)辦理電子個資檔案安全維護作業未進行加密，核有礙公司健全經營之虞。

《筆者分析》：

有關於這個裁罰案，筆者分兩部分來說明，
(1) 資安評估作業及社交工程演練：此部分，主要是根據107年金管會所公告的『金融機構辦理電腦系統資訊安全評估辦法』(相關連結：http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040390040028100-1070322 )來進行查核的，裡面主要將系統分成三大類，也針對這三大類訂出查核週期，如下圖所示：

此外對於資訊安全評估作業項目，其主要分成七類：

A. 資訊架構檢視
B. 網路活動檢視
C. 網路設備、伺服器、端末設備及物聯網等設備檢測
D. 網路設備、伺服器及物聯網等設備且連線至Internet者應辦理事項
E. 客戶端應用程式檢測
F. 安全設定檢視
G. 合規檢視

同時，在社交工程演練上，也明訂每年應至少一次針對使用電腦系統人員，於安全監控範圍內，寄發演練郵件，加強資通安全教育，以期防範惡意程式透過社交方式入侵。

上述的演練，對於資安評估人員資格也有規定，如下：

筆者最近看到很多資安證照的考試文章，其實各位有興趣，也可以參考以上的資格證照，去準備考試，這些都是金融業對於資安的ㄧ些要求，有興趣的人，可以依此為方向，好好考取資安專業證照。

(2) 電子個資檔案安全維護作業未進行加密：
如果要進行個人資料檔案的加密，可簡單利用一些軟體本身的加密功能，例如說微軟的 office 應用程式，都可直接將office 檔案，進行加密動作，將密碼傳送給知悉者一方，即可開啟檔案；其他像有些壓縮檔案的軟體，例如： WinZIP、WinRAR、7- ZIP等 ，也可以用來為個資檔案加上開啟密碼。另外也可將加密後的電子檔案以email 方式傳送出去給客戶後，再以不同於email 的其他通訊方式，將檔案開啟密碼傳送給對方，例如簡訊、line等等方式。如果時常透過郵件傳送密碼，密碼就必須妥善保存，並且定期更換較為安全。目前也有雙重認證功能，將顯示的QR code掃描之後，產生一組密碼，雙重認證目前常用於社交網站上，主要也有保護資料的功能。最後，也可以選擇將硬碟進行加密，坊間有許多硬碟加密的免費或付費工具可提供加密服務，例如Bitlocker磁碟加密軟體等都可以參酌使用。

以上為筆者針對該裁罰案的看法，也給各位做參考。