iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 17
1
Security

資安裁罰案件分析系列 第 17

DAY 17 第十五件裁罰案 金管會保險局裁罰對象:安聯人壽保險股份有限公司 裁罰日期:108/9/23

祝各位中秋節快樂!

https://ithelp.ithome.com.tw/upload/images/20200930/20107482J0OvPdFmM7.jpg

《有關資訊安全之違法事項:》
(十)辦理資訊安全防護作業,未就漏洞修補及追蹤處理訂定明確作業規範,亦未對無法修補或不需修補等例外管理情事,確實評估控管程序並定期檢討,核有礙健全經營之虞。

《筆者分析》

前述《第十一件裁罰案 金管會保險局裁罰對象:宏泰人壽保險股份有限公司》已經說明金融保險的資安層級分類,這件案子的問題是在”複測”的時候被記再次糾正,理由是雖然已經依風險層級規定,減低了嚴重等級以及高風險等級的弱點,但是這些漏洞及缺失,卻沒有持續追蹤,且在有些例外管理,例如無法修補漏洞的問題,沒有提出警示或提列報告。因此,被金管會保險局給提糾正。

所以,筆者提醒資安人員三件事:

(1)	提列缺失,應定期追蹤,最簡單的方式,是用excel表將事件逐一提列,每周定期追蹤。
(2)	需做例外管理報告,直到提出解決方案為止,若無法解決,請記得持續追蹤。
(3)	定期提出警示,有漏洞就要提出警示,直到修補完成。

上一篇
DAY 16 第十四件裁罰案 金管會銀行局裁罰對象:街口電子支付股份有限公司 裁罰日期:108/11/27
下一篇
DAY 18 第十六件裁罰案 金管會保險局裁罰對象:南山產物、人壽保險股份有限公司 裁罰日期:108/9/17
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言