選單
跳到主要內容區塊
:::
:::

非重大裁罰

中央內容區塊

新安東京海上產物保險股份有限公司管理電子商務系統,核有違反保險法相關規定,爰依保險法第171條之1第4項規定核處罰鍰新臺幣(以下同)120萬元整,並依同法第149條第1項規定予以2項糾正

一、裁罰時間:110年6月9日
二、受裁罰之對象:新安東京海上產物保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項、第171條之1第4項
四、違反事實理由:
(一)該公司107年8月於資訊部門下增設資安專責單位,依法應配置適當人力資源及設備,負責規劃、監控及執行資訊安全管理作業,然當時僅配有1名資安人力,直至109年1月起始增加為2人,檢查發現系統弱點修補管控欠妥,防火牆規則設定審核欠落實,以及未建立重要日誌監控及告警機制等資安防護作業欠妥事項,顯示資安專責單位未能妥適行使職權及有效發揮監督功能,核有未落實執行保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條之1規定情事,依保險法第171條之1第4項規定,核處罰鍰新臺幣(下同)60萬元。
(二)該公司107年4月16日租用雲端基礎設施(IAAS),運用Google Cloud Platform(GCP),以雲端架構建置「吉時保網路投保系統」,查有未妥善訂定資料加密金鑰管理程序、未訂定妥適之緊急應變計畫及退場機制等情事,又辦理「吉時保網路投保系統」之開發及維護作業,未受公司網路保護機制管控,主機系統日誌未納入資訊部門集中管控,與公司所訂內部規定不符。該公司雲端服務控管機制欠妥,未落實「保險業作業委託他人處理應注意事項」第7點規定,不利資訊安全及客戶權益之保護,核有違反保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第5條第1項第14款規定情事,爰依保險法第171條之1第4項規定,核處罰鍰60萬元。
(三)有關資安管理部分,有提報董事會之資安整體執行報告欠完整、對廠商交付之報告未確實檢核、未訂定重要性主機監控管理規範及系統修補程序、對主機帳號密碼管理欠妥、弱點掃描範圍欠完整等缺失,不利資訊安全防護,經核有礙健全經營之虞。
(四)辧理委外廠商管理部分,所訂委外開發人事系統合約,同意廠商遠端連線辦理維護,未妥為評估必要性及資安風險;另相關委外作業服務未訂定緊急應變計畫且辦理實地查核作業有欠確實等情事,經核有礙健全經營之虞。
五、裁罰結果:核處罰鍰120萬元整及2項糾正。
六、其他說明事項:保險業辦理電子商務,應確實建置或完備電子商務系統資訊安全管理規範及標準作業程序、配置適當人力並落實執行,俾利確保有效發揮資安維護管控功能。另委外作業應確實評估資安風險並妥為訂定緊急應變計畫,以維資訊安全及消費者權益之保護。
 
瀏覽人次: 3159   更新日期: 2021-07-23
回到頁首