iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 13
1
Security

資安裁罰案件分析系列 第 13

DAY 13 第十一件裁罰案 金管會保險局裁罰對象:宏泰人壽保險股份有限公司 裁罰日期:108/12/6

接下來就開始介紹2019年(108年度)下半年的裁罰案件。

https://ithelp.ithome.com.tw/upload/images/20200925/20107482wbebGG0VDB.jpg

《有關資訊安全之違法事項:》
(二)辦理利害關係人交易對象之建檔作業、保險商品費用適足性檢測作業、取處不動產鑑價作業、保經代通路業務品質控管作業、客戶洗錢風險等級評估及自建名單資料庫更新、防制洗錢及打擊資恐交易持續監控作業、行動裝置應用程式(APP)作業、網路管理作業、資安評估作業及社交工程演練及伺服器管理作業等缺失事項,核有礙公司健全經營之虞。
(三)辦理電子個資檔案安全維護作業未進行加密,核有礙公司健全經營之虞。

《筆者分析》

有關於這個裁罰案,筆者分兩部分來說明,
(1) 資安評估作業及社交工程演練:此部分,主要是根據107年金管會所公告的『金融機構辦理電腦系統資訊安全評估辦法』(相關連結:http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040390040028100-1070322 )來進行查核的,裡面主要將系統分成三大類,也針對這三大類訂出查核週期,如下圖所示:

https://ithelp.ithome.com.tw/upload/images/20200925/20107482iqr1efBcQB.jpg

此外對於資訊安全評估作業項目,其主要分成七類:

A. 資訊架構檢視
B. 網路活動檢視
C. 網路設備、伺服器、端末設備及物聯網等設備檢測
D. 網路設備、伺服器及物聯網等設備且連線至Internet者應辦理事項
E. 客戶端應用程式檢測
F. 安全設定檢視
G. 合規檢視

同時,在社交工程演練上,也明訂每年應至少一次針對使用電腦系統人員,於安全監控範圍內,寄發演練郵件,加強資通安全教育,以期防範惡意程式透過社交方式入侵。

上述的演練,對於資安評估人員資格也有規定,如下:
https://ithelp.ithome.com.tw/upload/images/20200925/20107482soRhwtqTmw.jpg

筆者最近看到很多資安證照的考試文章,其實各位有興趣,也可以參考以上的資格證照,去準備考試,這些都是金融業對於資安的ㄧ些要求,有興趣的人,可以依此為方向,好好考取資安專業證照。

(2) 電子個資檔案安全維護作業未進行加密:
如果要進行個人資料檔案的加密,可簡單利用一些軟體本身的加密功能,例如說微軟的 office 應用程式,都可直接將office 檔案,進行加密動作,將密碼傳送給知悉者一方,即可開啟檔案;其他像有些壓縮檔案的軟體,例如: WinZIP、WinRAR、7- ZIP等 ,也可以用來為個資檔案加上開啟密碼。另外也可將加密後的電子檔案以email 方式傳送出去給客戶後,再以不同於email 的其他通訊方式,將檔案開啟密碼傳送給對方,例如簡訊、line等等方式。如果時常透過郵件傳送密碼,密碼就必須妥善保存,並且定期更換較為安全。目前也有雙重認證功能,將顯示的QR code掃描之後,產生一組密碼,雙重認證目前常用於社交網站上,主要也有保護資料的功能。最後,也可以選擇將硬碟進行加密,坊間有許多硬碟加密的免費或付費工具可提供加密服務,例如Bitlocker磁碟加密軟體等都可以參酌使用。

以上為筆者針對該裁罰案的看法,也給各位做參考。


上一篇
DAY 12 第十件裁罰案 金管會保險局裁罰對象:全球人壽保險股份有限公司 裁罰日期:109/9/15
下一篇
DAY 14 第十二件裁罰案 金管會保險局裁罰對象:國泰世紀產物保險股份有限公司 裁罰日期:108/12/4
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言