兆豐產物保險股份有限公司管理電子商務系統,核有違反保險法相關規定,爰依保險法第171條之1第4項規定核處罰鍰新臺幣(以下同)120萬元整,並依同法第149條第1項規定予以2項糾正
2021-05-12
一、裁罰時間:110年5月12日
二、受裁罰之對象:兆豐產物保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項、第171條之1第4項
四、違反事實理由:
(一) 該公司107年9月增設資訊安全專責單位,依法應配置適當人力資源及設備,負責規劃、監控及執行資訊安全管理作業,惟本次檢查發現有系統弱點修補管控欠妥,造成多項嚴重風險未能及時修補、防火牆規則設定審核欠落實,造成設定寬鬆,及未建立重要日誌監控及告警機制等資安防護作業欠妥事項,顯示資安專責單位未能妥適行使職權及有效發揮監督功能,核有未落實執行保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條之1規定情事,爰依保險法第171條之1第4項規定,核處罰鍰60萬元。
(二)該公司所訂「應用系統開發與維護管理作業須知」未明訂新系統開發應辦理技術與安全性可行性評估,以致辦理核心系統委外開發,有公司內部技術管控能力不足等缺失,不利資訊安全;另提供保經代使用之應用系統,查有未落實執行內部控制制度情事,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條第1項第2款、第4款及第8款規定不符,爰依保險法第171條之1第4項規定,核處罰鍰60萬元。
(三)就資訊安全管理,有專責單位提報董事會內容欠完整、未制定憑證(金鑰)、容器化伺服器叢聚環境(cluster)、重要性主機監控、特權帳號、網頁應用程防火牆等管理規範與相關作業程序、對弱點之後續修補作業欠妥等缺失;另就委外廠商管理,有未能於個別委外契約中要求廠商落實相關緊急應變計畫、就未取得程式原始碼之系統未積極強化委外作業期間之風險管控等缺失,均核有違反法令或有礙健全經營之虞,爰依保險法第149條第1項規定共計核處2項糾正。
五、裁罰結果:核處罰鍰120萬元整及2項糾正。
六、其他說明事項:請該公司儘速建置或完備電子商務系統相關安全管理規範或標準作業程序,並配置適當人力落實執行,俾有效發揮管控功能,確保資訊安全。
二、受裁罰之對象:兆豐產物保險股份有限公司
三、裁罰之法令依據:保險法第149條第1項、第171條之1第4項
四、違反事實理由:
(一) 該公司107年9月增設資訊安全專責單位,依法應配置適當人力資源及設備,負責規劃、監控及執行資訊安全管理作業,惟本次檢查發現有系統弱點修補管控欠妥,造成多項嚴重風險未能及時修補、防火牆規則設定審核欠落實,造成設定寬鬆,及未建立重要日誌監控及告警機制等資安防護作業欠妥事項,顯示資安專責單位未能妥適行使職權及有效發揮監督功能,核有未落實執行保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條之1規定情事,爰依保險法第171條之1第4項規定,核處罰鍰60萬元。
(二)該公司所訂「應用系統開發與維護管理作業須知」未明訂新系統開發應辦理技術與安全性可行性評估,以致辦理核心系統委外開發,有公司內部技術管控能力不足等缺失,不利資訊安全;另提供保經代使用之應用系統,查有未落實執行內部控制制度情事,核與保險法第148條之3第1項授權訂定之保險業內部控制及稽核制度實施辦法第6條第1項第2款、第4款及第8款規定不符,爰依保險法第171條之1第4項規定,核處罰鍰60萬元。
(三)就資訊安全管理,有專責單位提報董事會內容欠完整、未制定憑證(金鑰)、容器化伺服器叢聚環境(cluster)、重要性主機監控、特權帳號、網頁應用程防火牆等管理規範與相關作業程序、對弱點之後續修補作業欠妥等缺失;另就委外廠商管理,有未能於個別委外契約中要求廠商落實相關緊急應變計畫、就未取得程式原始碼之系統未積極強化委外作業期間之風險管控等缺失,均核有違反法令或有礙健全經營之虞,爰依保險法第149條第1項規定共計核處2項糾正。
五、裁罰結果:核處罰鍰120萬元整及2項糾正。
六、其他說明事項:請該公司儘速建置或完備電子商務系統相關安全管理規範或標準作業程序,並配置適當人力落實執行,俾有效發揮管控功能,確保資訊安全。
瀏覽人次:
6266
更新日期:
2021-07-23