一、裁罰時間：108年11月19日

二、受裁罰之對象：新光人壽保險股份有限公司

三、裁罰之法令依據：保險法第149條第1項及第171條之1第4項規定。

四、違反事實理由：

(一)建置有權限管理系統以管理各主機伺服器特權帳號之使用及監控登入操作行為，有欠妥情事，核有礙健全經營之虞。

(二)主機伺服器之維護管理，未落實最小授權原則及主機安全參數設定過於寬鬆，核有礙健全經營之虞。

(三)資料庫系統參數設定欠妥善，及對於資料庫存取授權管理，未落實最小授權原則，核有礙健全經營之虞。

(四)現行申請防火牆規則設定或變更作業，經查對高風險服務連線之開放作業有欠嚴謹者，核有礙健全經營之虞。

(五)辦理弱點掃描與滲透測試作業，有原廠發布重大安全性更新而未收集並評估辦理修補更新，及修補更新有落後情事。另部分重要應用系統與資料庫主機之作業系統升級，業經廠商公告停止支援服務，惟未完成系統升級或汰換等因應措施，且建置日誌收容系統(Arcsight)蒐集各主機或網路安全設備之日誌，有欠妥情事，上開缺失核有礙健全經營之虞。

(六)對資料庫及檔案存取安全管控措施、資料存放及對外傳送管控方式，有欠妥情事，核有礙健全經營之虞。

(七)對電子郵件傳送個人資料進行相關管控，查有下列事項欠妥：

１、對外傳送個人資料，有未加密之情形，核有礙健全經營之虞。

２、對部級單位以上主管外寄含有個資之郵件「電子郵件服務使用辦法」，未訂定相關審核程序以確認其適當性，及未依所訂「電子郵件服務使用辦法」對秘書人員外寄郵件包含個資者進行阻擋，核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定不符。

(八)辦理應用系統開發、測試、編譯及換版上線作業，部分非核心系統應用程式，有欠妥情事，核有礙健全經營之虞。

(九)對外提供服務之團體保險服務電子商務網站之安全設計，有欠妥情事，核有礙健全經營之虞。

五、裁罰結果：核處罰鍰新臺幣60萬元整，並予以9項糾正之處分。

六、其他說明事項：無