iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 19
1
Security

資安裁罰案件分析系列 第 19

DAY 19 第十七件裁罰案 金管會保險局裁罰對象:國泰人壽保險股份有限公司 裁罰日期:108/9/16

https://ithelp.ithome.com.tw/upload/images/20201002/20107482SlEzIQ8RZ2.jpg

《有關資訊安全之違法事項:》
(一)辦理網路相關規劃管理作業,FTP伺服器未依規定置放。
(二)辦理弱點掃描及安全漏洞修補作業,修補速度顯待提升;重要網路設備廠商發佈之漏洞,有未及時進行修補者等不利資訊安全之情形。
(三)辦理個資保護管控對外傳輸之資料,未將電子郵件地址納入偵測條件;對不同個資組合尚未建立對藉多次外寄低於門檻筆數個資之郵件;對防火牆已開放利用其他通訊埠對外傳輸內含個資檔案,尚未建立過濾或管控其適當性之機制等不利防範個資外洩之情形。
(四)業務人員使用之行動投保APP資料更改,管控設計有欠妥善。

《筆者分析》

就違法事項分析,

(一)	 筆者認為應該是'FTP沒有區分內外',所以被記了這個缺失。
(二)	修補速度太慢,就內稽面來說,通常會追蹤改善狀況,然而,重點還在資訊管理部門對於維修進度的掌握,如果無法修補,正常要說明理由,以及預計改善時間,如果持續無法改善,就要對總經理進行報告,'追蹤是很重要的'。
(三)	分三部分說明,首先,電子郵件對外傳輸時,應該針對機密程度作區分跟過濾,所以筆者認為這部分裁處,可能是沒做'規則性過濾';第二部分有關個資組合尚未建立門檻筆數,這應該可以調整門檻,可能的話,就調高一點;最後一部分是防火牆對外傳輸,如果沒建立過濾及管控個資的的話,那就請資訊單位在防火牆設定條件,加強過濾。
(四)	行動投保這個功能,如果再資料更改時,設計上有瑕疵,應該由設計單位修正錯誤,避免個人資料不一致的情況出現。

因為沒有看到詳細懲處內容,筆者僅針對這四個部分,做出推斷,如果並非如此,那也沒關係,重點是,這些都跟資安有關,如果有興趣的讀者,可以從這些裁罰事項,做深入的探討與了解,或搜尋相關資料。

學習就是從懷疑開始,雖然可能有誤,但是,能夠思考問題,充分表達,有錯再更正就好。

本次是糾正案,故無罰款,糾正就改善,有改善就能做得更好的。


上一篇
DAY 18 第十六件裁罰案 金管會保險局裁罰對象:南山產物、人壽保險股份有限公司 裁罰日期:108/9/17
下一篇
DAY 20 第十八件裁罰案 金管會保險局裁罰對象:三商美邦人壽保險股份有限公司 裁罰日期:108/9/11
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言