iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 18
2
Security

資安裁罰案件分析系列 第 18

DAY 18 第十六件裁罰案 金管會保險局裁罰對象:南山產物、人壽保險股份有限公司 裁罰日期:108/9/17

2019/09/17 第一張罰單
https://ithelp.ithome.com.tw/upload/images/20201001/201074826LFBjtq5aF.jpg

2019/09/17 第二張罰單
https://ithelp.ithome.com.tw/upload/images/20201001/20107482fFmRiwy7BE.jpg

https://ithelp.ithome.com.tw/upload/images/20201001/201074823DU4Bgm0Dr.jpg

2019/09/17第三張罰單
https://ithelp.ithome.com.tw/upload/images/20201001/20107482YYmwzJPvLV.jpg

《有關資訊安全之違法事項:》
資安三道防線無法有效落實。

《筆者分析》:

寫這篇前,筆者的確有點猶豫,到底應不應該把在之前的裁罰始末寫清楚,但想想還是言簡意賅的寫就好,基本觀念有,才能做好資安管理。

以南山的境界計畫來說,在2019/09/17最震撼的裁罰,就是南山人壽董事長杜○○負決策失當責任,以及總稽核楊○○內部稽核監督功能不彰,未落實執行境界專案稽核作業,兩位主管雙雙中箭落馬。被裁罰之重,實在是歷年來罕見,大家可以看9/17是連開出三張罰單,系統建置600萬,境界計畫董、稽失職3000萬、保險業務180萬,當天就開出了3,780萬元

境界計畫的始末,筆者不詳述,相信大家扒個文,大概就有一堆報導、分析,本文重點在同一天內開出三張罰單資安觀念面的探討。

筆者先說明,南山這個案子是技術面失效的一個案例,筆者相信很多資工、資安的技術人員會非常的不服氣,認為技術面才是王道,在某個條件之下,技術面的確有其重要性與領導性,筆者也是從技術開始做起的。但問題就在於,技術難以看到整體公司的運作面向,公司整體運作,是環環相扣的,當境界計畫開始之初,整個董事會想必一定充滿信心,也一定考慮到很多資安、技術等等面向,然而,最終結果是董事長、總稽核中箭落馬,難道是金管會的問題嗎?故意找渣嗎? 想來不是,當客戶開始反應保單問題時,就已經浮現技術面不足的問題,也就是技術無法改善,符合客戶需求的問題,之後董事會也不是不想解決,而是無法解決。

換句話說,束手無策!

保險業是直接面對客戶的一個行業,有其特殊性,因此,大家在看裁罰案件時,不難發現幾乎都是保險局在裁罰的,而且不少是重複開罰的,主要因為客戶不是專業人員,是普羅大眾,大眾的反應千奇百怪,不是規則、標準能控制的,當很多人再問規則、標準在哪時?這是沒必要的。面對大眾客戶,重點就只有解決他們的問題就好,他們不懂,也不一定想懂甚麼標準,同時,也不會管你技術有多棒的,不能解決客戶的問題,功能再多,技術再優,不能解決他們的問題,就是一個字。爛。。。。

從這三張罰單的額度來說,2019年南山一家,就包了該年度保險業總罰款的一半以上了,後面還會提到的,這三張罰單裡面有跟資安議題有關的內容,那就是內部控制的三道防線,9/29筆者在街口公司的那篇已經提過,有太多資安死在第二道法令遵循的防線,那也提醒各位,法律是很重要的,不管大家從事技術、資安或者資訊相關工作,不要想說法律交給專業就好,南山的運作體系,比我們都要嚴謹,技術、法律、營運的考慮一定比大家都縝密,專業人員也是一堆,然而,最終還是賠了夫人又折兵。

筆者認為,如果資安是個重要的議題,把這個議題往外擴充時,能多思考,保持謙虛的心,來看自己的不足,才能讓資安再進步,觀念更札實。

以上是筆者的看法,也祝大家連假愉快!


上一篇
DAY 17 第十五件裁罰案 金管會保險局裁罰對象:安聯人壽保險股份有限公司 裁罰日期:108/9/23
下一篇
DAY 19 第十七件裁罰案 金管會保險局裁罰對象:國泰人壽保險股份有限公司 裁罰日期:108/9/16
系列文
資安裁罰案件分析30

1 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2020-10-02 00:08:22

那罰款分我一點多好~~

彭偉鎧 iT邦新手 3 級 ‧ 2020-10-02 00:12:06 檢舉

你可以幫忙繳啊!

SunAllen iT邦研究生 1 級 ‧ 2020-10-02 00:15:43 檢舉

我只會幫忙花XD

我要留言

立即登入留言