三商美邦人壽保險股份有限公司辦理資訊作業,核有違反保險法相關規定,依保險法第171條之1第4項規定,核處罰鍰新臺幣120萬元整,並依同法第149條第1項規定予以糾正。
2021-03-22
一、裁罰時間:110年3月22日
二、受裁罰之對象:三商美邦人壽保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項、第171條之1第4項。
四、違反事實理由:
(一)截至109年6月4日,該公司辦理保險核心業務主機作業系統之安全管理,核有未落實執行內部控制制度,且該公司辦理應用系統開發與維護、資料變更作業,所訂內部規定及應用系統測試環境建立欠周延,致109年5月有下單測試資料傳送至正式伺服器並成交者,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符。
(二)該公司辦理Linux作業系統之安全管理,迄109年4月30日未訂定相關系統參數檢核表並建立定期檢視機制,致密碼原則與所訂內部規定不符,且該公司Windows系統主機網域使用者密碼變更作業與所訂內部規定不符,以上均未落實執行內部控制制度,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款及第13款規定不符。
(三)該公司辦理下列資通安全作業,核有有礙健全經營之虞:
1、辦理Linux作業系統之安全管理,未建立伺服器系統檔案定期清理機制及主機目錄或檔案之存取權限定期評估機制,及未開啟重要稽核原則,不利系統安全及完整留存系統軌跡。
2、該公司未訂定資安情資或警訊通報處理之標準程序或作業規範,不利作業遵循。
3、該公司對外網站存有資安弱點,不利對外網站安全維護。
五、裁罰結果:核處罰鍰新臺幣120萬元整,並予以1項糾正。
六、其他說明事項:
(一)金管會呼籲,保險業應加強主機系統之安全管理,確實辦理各項定期檢核作業,以維主機系統安全。
(二)保險業辦理應用系統測試作業,應研擬對應之測試情境,並應建立應用系統測試前對參數及環境檢視機制,並全面清查應用系統測試環境建立之妥適性。
二、受裁罰之對象:三商美邦人壽保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項、第171條之1第4項。
四、違反事實理由:
(一)截至109年6月4日,該公司辦理保險核心業務主機作業系統之安全管理,核有未落實執行內部控制制度,且該公司辦理應用系統開發與維護、資料變更作業,所訂內部規定及應用系統測試環境建立欠周延,致109年5月有下單測試資料傳送至正式伺服器並成交者,違規事實明確,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符。
(二)該公司辦理Linux作業系統之安全管理,迄109年4月30日未訂定相關系統參數檢核表並建立定期檢視機制,致密碼原則與所訂內部規定不符,且該公司Windows系統主機網域使用者密碼變更作業與所訂內部規定不符,以上均未落實執行內部控制制度,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款及第13款規定不符。
(三)該公司辦理下列資通安全作業,核有有礙健全經營之虞:
1、辦理Linux作業系統之安全管理,未建立伺服器系統檔案定期清理機制及主機目錄或檔案之存取權限定期評估機制,及未開啟重要稽核原則,不利系統安全及完整留存系統軌跡。
2、該公司未訂定資安情資或警訊通報處理之標準程序或作業規範,不利作業遵循。
3、該公司對外網站存有資安弱點,不利對外網站安全維護。
五、裁罰結果:核處罰鍰新臺幣120萬元整,並予以1項糾正。
六、其他說明事項:
(一)金管會呼籲,保險業應加強主機系統之安全管理,確實辦理各項定期檢核作業,以維主機系統安全。
(二)保險業辦理應用系統測試作業,應研擬對應之測試情境,並應建立應用系統測試前對參數及環境檢視機制,並全面清查應用系統測試環境建立之妥適性。
瀏覽人次:
7888
更新日期:
2021-03-22