南山人壽短短一個月內,吃了三張金管會罰單!金管會上月才對南山連開二張罰單,共罰780萬元,17日金管會進行金檢時又查到南山在辦理電子商務系統業務時有違反個人資料保護法、洗錢防制法及保險法相關規定,針對七項疏失開罰240萬元加四項糾正,並限期一個月內改善。

金管會指出,此次開罰主要是檢查局在做資安相關檢查時發現的疏失,與境界之亂的系統疏失不同。七大疏失包括一、辦理網路投保旅平險業務時,有未進行客戶姓名檢核作業情事,已違反洗錢防制法有關「金融機構防制洗錢辦法」及保險法「保險業內部控制及稽核制度實施辦法」。

二、南山人壽訂的應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備,不利確保應用程式變更之正確性及系統維運安全。

三、南山委託外部資安廠商之網路監控服務,經查其對控管服務方式之決定有延宕情形。另該公司有未建立非屬重大資安事故事件處理程序之情事。且該公司辦理行動裝置應用程式(APP)維護管理作業,所訂關於行動應用程式上架、安全性檢測、發布與更新等作業之規範,有違分工牽制原則。另該公司尚有未依所訂內部規範,定期辦理APP程式原始碼檢測、發行用密碼變更、憑證備份與封存等作業之情事。

四、南山人壽資訊安全政策係由總經理核定施行之「資訊安全準則」,未提報董事會,核定層級有欠妥適;對於應收集、監控之系統稽核軌跡或日誌紀錄(log)範圍尚未明確規範,及未就安全性資訊與事件管理平台監控所發現異常事件之後續處理程序,明確訂定於系統稽核軌跡或日誌紀錄之相關內部管理規範;對資料庫存取授權管理欠妥,未落實最小授權原則;電子商務系統之部分安全設計項目,未符合所訂內規之安全要求。

五、南山人壽網路投保之個資可複製至個人電腦,並無稽核軌跡及管控措施。

六、將正式作業主機之個資檔案及資料庫複製至開發測試主機作業,有未去識別化之情形。

七、南山人壽電子商務系統之安全設計涉及個人資料,尚未妥適隱碼顯示。

#資安 #系統 #南山人壽 #安全