中國人壽保險股份有限公司辦理保險業務,核有違反保險法相關規定,依保險法第171條之1第4項規定核處罰鍰新臺幣(以下同)60萬元整,並依同法第149條第1項規定予以糾正。
2022-02-25
一、裁罰時間:111年2月25日
二、受處分人:中國人壽保險股份有限公司。
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:譚OO
六、地址:略
七、主旨:貴公司辦理保險業務,核有違反保險法相關規定,依保險法第171條之1第4項規定核處罰鍰60萬元整,並依同法第149條第1項規定予以糾正。
八、事實:
(一)公司辦理電子商務系統(網路投保及網路保險服務)有安全設計欠妥、未依所訂「資訊資產保護管理辦法」辦理等缺失,未落實執行系統安全之控制機制,如:提供網路保險服務之安全設計欠妥,提供業務員、經代、銀行通路使用之網頁試算表系統(i-TOUCH),使用者登入網頁於特定網頁瀏覽器環境下「密碼欄位」以明碼顯示於畫面、電子商務系統對於重要繳費資訊有未加密儲存者。
(二)公司辦理保險業務,有不利資訊安全之欠妥事項:
1、公司員工學習網對外連線環境設定錯誤,有誤開放員工學習網外部連線之情形。
2、公司辦理電腦系統安全評估作業,有未落實執行者,如:108年度執行電腦系統安全評估作業,未將歸屬至第二類之檔案傳輸加密系統納入評估範圍、107年度執行電腦系統安全評估作業,送稽核單位追蹤覆查之電腦評估報告所列缺失或建議事項有欠完整。
3、公司辦理主機安全參數設定作業有欠妥事項,如:SYSTEM i作業系統未訂定系統強化檢核原則,所訂「密碼設定、傳遞與變更原則」尚欠完善、所訂「資料庫強化檢核表」檢核項目有欠完整、「密碼設定、傳遞與變更原則」並未規範鎖定次數、SYSTEM i及資料庫密碼錯誤10次後始鎖定、對特殊權限之使用者所創建並保留其特殊權限之程式,未檢視其必要性及授權之妥適性並列冊管控定期檢討、對重設帳戶鎖定之時間短暫,未評估開啟不安全連線及檔案傳輸等高風險服務之必要性。
4、公司辦理主機帳號管理作業有欠妥事項,如:特權帳號回收及管理欠完善、108年度帳號及權限清查管理作業有欠確實。
5、公司網路架構及主機網段配置欠妥,不利確保連線安全及防止未經授權之系統存取,如:對作業中心及分公司之辦公區設備與主機區設備間,未建置防火牆或其他網路存取管控機制。
6、公司防火牆管理作業有欠妥事項,如:未規範防火牆檢視作業之重點原則項目、未全面檢視防火牆規則設定之妥適性。
7、公司辦理弱點掃描及滲透測試作業有欠妥事項,如:108年度弱點掃描所發現弱點截至109年度第3季仍存在中風險弱點尚未完成修補。
8、公司辦理網路設備及系統日誌蒐集、監控及管理作業有欠妥事項,如:日誌管理系統之收容範圍欠完整。
9、公司辦理應用程式原始碼掃描結果之弱點修補有欠積極,如:108.7.1團保網站修正客製化網頁客戶測試問題,上線時存在包括嚴重弱點在內之多項弱點未修補,且截至109.11.20仍有多項弱點未完成修補。
10、公司辦理個人資料保護作業有欠妥事項,如:未考量筆記型電腦可攜出公司外之特性,訂定有效之控管程序、提供外勤業務員使用之租用信箱,其發送之電子郵件是否含有客戶個人資料,未建立過濾機制或控管措施。
11、公司就個人資訊管理系統(PIMS)之導入範圍,未含括業務員於行動裝置操作及暫存保戶相關個人資料(含人臉生物特徵)上傳至公司伺服器之行動投保業務作業流程,不利落實執行「人身保險業辦理行動投保身分認證程序業務應遵循事項規範」第3條第2項第5款規定。
九、理由及法令依據:
(一)上述事實(一),公司辦理電子商務系統之安全設計,未落實執行系統安全之控制機制,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(二)上述事實(二),公司辦理保險業務,有不利資訊安全之欠妥事項,核有礙健全經營之虞,依保險法第149條第1項規定予以糾正。
十、繳款方式:
(一)繳款期限:自本處分送達之次日起10日內繳納。
(二)請依檢附之繳款單注意事項辦理繳納。
十一、注意事項:
(一)受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
(二)受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
二、受處分人:中國人壽保險股份有限公司。
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:譚OO
六、地址:略
七、主旨:貴公司辦理保險業務,核有違反保險法相關規定,依保險法第171條之1第4項規定核處罰鍰60萬元整,並依同法第149條第1項規定予以糾正。
八、事實:
(一)公司辦理電子商務系統(網路投保及網路保險服務)有安全設計欠妥、未依所訂「資訊資產保護管理辦法」辦理等缺失,未落實執行系統安全之控制機制,如:提供網路保險服務之安全設計欠妥,提供業務員、經代、銀行通路使用之網頁試算表系統(i-TOUCH),使用者登入網頁於特定網頁瀏覽器環境下「密碼欄位」以明碼顯示於畫面、電子商務系統對於重要繳費資訊有未加密儲存者。
(二)公司辦理保險業務,有不利資訊安全之欠妥事項:
1、公司員工學習網對外連線環境設定錯誤,有誤開放員工學習網外部連線之情形。
2、公司辦理電腦系統安全評估作業,有未落實執行者,如:108年度執行電腦系統安全評估作業,未將歸屬至第二類之檔案傳輸加密系統納入評估範圍、107年度執行電腦系統安全評估作業,送稽核單位追蹤覆查之電腦評估報告所列缺失或建議事項有欠完整。
3、公司辦理主機安全參數設定作業有欠妥事項,如:SYSTEM i作業系統未訂定系統強化檢核原則,所訂「密碼設定、傳遞與變更原則」尚欠完善、所訂「資料庫強化檢核表」檢核項目有欠完整、「密碼設定、傳遞與變更原則」並未規範鎖定次數、SYSTEM i及資料庫密碼錯誤10次後始鎖定、對特殊權限之使用者所創建並保留其特殊權限之程式,未檢視其必要性及授權之妥適性並列冊管控定期檢討、對重設帳戶鎖定之時間短暫,未評估開啟不安全連線及檔案傳輸等高風險服務之必要性。
4、公司辦理主機帳號管理作業有欠妥事項,如:特權帳號回收及管理欠完善、108年度帳號及權限清查管理作業有欠確實。
5、公司網路架構及主機網段配置欠妥,不利確保連線安全及防止未經授權之系統存取,如:對作業中心及分公司之辦公區設備與主機區設備間,未建置防火牆或其他網路存取管控機制。
6、公司防火牆管理作業有欠妥事項,如:未規範防火牆檢視作業之重點原則項目、未全面檢視防火牆規則設定之妥適性。
7、公司辦理弱點掃描及滲透測試作業有欠妥事項,如:108年度弱點掃描所發現弱點截至109年度第3季仍存在中風險弱點尚未完成修補。
8、公司辦理網路設備及系統日誌蒐集、監控及管理作業有欠妥事項,如:日誌管理系統之收容範圍欠完整。
9、公司辦理應用程式原始碼掃描結果之弱點修補有欠積極,如:108.7.1團保網站修正客製化網頁客戶測試問題,上線時存在包括嚴重弱點在內之多項弱點未修補,且截至109.11.20仍有多項弱點未完成修補。
10、公司辦理個人資料保護作業有欠妥事項,如:未考量筆記型電腦可攜出公司外之特性,訂定有效之控管程序、提供外勤業務員使用之租用信箱,其發送之電子郵件是否含有客戶個人資料,未建立過濾機制或控管措施。
11、公司就個人資訊管理系統(PIMS)之導入範圍,未含括業務員於行動裝置操作及暫存保戶相關個人資料(含人臉生物特徵)上傳至公司伺服器之行動投保業務作業流程,不利落實執行「人身保險業辦理行動投保身分認證程序業務應遵循事項規範」第3條第2項第5款規定。
九、理由及法令依據:
(一)上述事實(一),公司辦理電子商務系統之安全設計,未落實執行系統安全之控制機制,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定不符,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
(二)上述事實(二),公司辦理保險業務,有不利資訊安全之欠妥事項,核有礙健全經營之虞,依保險法第149條第1項規定予以糾正。
十、繳款方式:
(一)繳款期限:自本處分送達之次日起10日內繳納。
(二)請依檢附之繳款單注意事項辦理繳納。
十一、注意事項:
(一)受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
(二)受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。
瀏覽人次:
9994
更新日期:
2022-02-25