全球人壽保險股份有限公司辦理資訊系統建置業務,查有違反保險法相關規定,依保險法核處罰鍰計新臺幣60萬元整,並予以糾正。
2021-10-06
一、裁罰時間:110年10月6日
二、受裁罰之對象:全球人壽保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項及第171條之1第4項規定
四、違反事實理由:
(一)該公司辦理資訊系統整合專案之資訊安全檢核作業,有未依所訂規範就專案之規劃、執行監控及結束等階段之相關資訊安全要求事項,分別檢視填寫「專案資訊安全檢核表」並辦理驗證之情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符。
(二)該公司辦理資訊系統整合專案及資訊安全相關業務,有下列事項欠妥,核有礙健全經營之虞:
1、該公司於104年至106年間辦理原由董事會決議通過之資訊系統整合案(下稱新核心系統專案),預算費用內容原係以個險加團險系統為基礎,後該公司與合作廠商簽約約定排除團體保險,惟後續追加新核心系統專案預算提報董事會時,公司經營團隊未對董事會說明該專案範疇不包括團(旅)險系統之可能影響及因應作法,不利於公司董事會對新核心系統後續建置情形及相關影響之控管。
2、該公司辦理防火牆管理作業,雖已定期檢視防火牆規則,惟採高風險連線功能者,有未評估其安全性及必要性,及允許使用網路芳鄰服務從辦公區連線至正式主機之情形,未評估其妥適性,不利於公司網路之安全。
3、公司新核心系統使用之應用程式,其平台版本經查存有眾多安全漏洞,且廠商已公告停止支援服務,未評估新核心系統可能因此產生之風險,並敘明補償性管控方式或訂定汰換計畫等後續處理方案,不利於公司核心系統之資訊安全控管。
4、該公司雖已於上線前對新核心系統進行原始碼掃描(白箱掃描),惟查公司辦理弱點檢視作業對安裝有安全疑慮之軟體,未建立定期檢視及控管機制,不利於公司核心系統之資訊安全控管。
五、裁罰結果:依保險法第171條之1第4項規定,核處罰鍰計新臺幣60萬元整,並依同法第149條第1項規定予以糾正。
六、其他說明事項:無
二、受裁罰之對象:全球人壽保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項及第171條之1第4項規定
四、違反事實理由:
(一)該公司辦理資訊系統整合專案之資訊安全檢核作業,有未依所訂規範就專案之規劃、執行監控及結束等階段之相關資訊安全要求事項,分別檢視填寫「專案資訊安全檢核表」並辦理驗證之情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符。
(二)該公司辦理資訊系統整合專案及資訊安全相關業務,有下列事項欠妥,核有礙健全經營之虞:
1、該公司於104年至106年間辦理原由董事會決議通過之資訊系統整合案(下稱新核心系統專案),預算費用內容原係以個險加團險系統為基礎,後該公司與合作廠商簽約約定排除團體保險,惟後續追加新核心系統專案預算提報董事會時,公司經營團隊未對董事會說明該專案範疇不包括團(旅)險系統之可能影響及因應作法,不利於公司董事會對新核心系統後續建置情形及相關影響之控管。
2、該公司辦理防火牆管理作業,雖已定期檢視防火牆規則,惟採高風險連線功能者,有未評估其安全性及必要性,及允許使用網路芳鄰服務從辦公區連線至正式主機之情形,未評估其妥適性,不利於公司網路之安全。
3、公司新核心系統使用之應用程式,其平台版本經查存有眾多安全漏洞,且廠商已公告停止支援服務,未評估新核心系統可能因此產生之風險,並敘明補償性管控方式或訂定汰換計畫等後續處理方案,不利於公司核心系統之資訊安全控管。
4、該公司雖已於上線前對新核心系統進行原始碼掃描(白箱掃描),惟查公司辦理弱點檢視作業對安裝有安全疑慮之軟體,未建立定期檢視及控管機制,不利於公司核心系統之資訊安全控管。
五、裁罰結果:依保險法第171條之1第4項規定,核處罰鍰計新臺幣60萬元整,並依同法第149條第1項規定予以糾正。
六、其他說明事項:無
瀏覽人次:
29133
更新日期:
2021-10-06