金融監督管理委員會　裁處書
受文者：如正副本
發文日期：中華民國114年7月4日
發文字號：金管保壽字第11404915492號
受處分人：安達國際人壽保險股份有限公司
營利事業統一編號：略
地址：略
代表人或管理人姓名：李ОО
地址：略
主旨：本會對貴公司辦理對外服務系統資訊安全專案檢查報告（編號：113I005）所列缺失事項，核有違反保險法相關規定，依保險法第171條之1第4項規定，核處新臺幣（以下同）60萬元罰鍰。
事實：
一、貴公司辦理網路安全管理作業，雖訂有「弱點掃描管理程序」供作業依循，惟所訂內控程序未規範弱點修補展延期限或次數，而有未於修補期限完成之弱點，且未依個別主機風險考量，逕以整批方式同意各弱點依原訂弱點等級之修補期限展延，不利弱點修補之管控。
二、貴公司辦理主機弱點修補及改善追蹤欠積極，致有網際網路應用系統存有高風險以上之弱點逾3個月，雖已辦理展期惟仍未修補，與貴公司所訂弱點掃描管理相關內部規範不符。
三、貴公司辦理電子商務採用靜態密碼進行身分驗證，對客戶輸入之密碼未採端點對端點加密，經查網頁傳輸內容可發現所輸入之固定密碼明碼，與貴公司所訂通訊安全管理相關內部規範不符。
四、貴公司辦理對外服務網站滲透測試發現保戶園地存有弱點，未針對重送簡訊相關攻擊建置速率限制，惟修補作業未就所發現之弱點進行全面清查，與貴公司所訂弱點掃描管理相關內部規範不符。
理由及法令依據：
一、依保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第8款及第13款規定，保險業使用電腦化資訊系統處理者，其內部控制制度，除資訊部門與使用者部門應明確劃分權責外，至少應包括下列控制作業，並應依所屬商業同業公會訂定之自律規範辦理：「八、系統、檔案及電腦、通訊設備之安全控制。…十三、客戶及公司機密資料之保密及安全防範控制。」。
二、上述事實一及二，貴公司所訂「弱點掃描管理程序」有欠周延，不利弱點修補期程作業依循，且有未依內部控制制度落實執行弱點修補之情事，核有違反「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定；上述事實三，貴公司有未依內控制度落實執行電子商務訊息加密之情事，核有違反「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定；上述事實四，貴公司有未依內控制度落實執行對外服務網站安全設計機制之情事，核有違反「保險業內部控制及稽核制度實施辦法」第6條第1項第8款規定。綜上，依保險法第171條之1第4項規定，核處60萬元罰鍰。
繳款方式：
一、繳款期限：自本處分送達之次日起10日內繳納。
二、請依本會保險局檢附之繳款單注意事項辦理繳納。
注意事項：
一、受處分人如不服本處分，應於本處分送達之次日起30日內，依訴願法第58條第1項規定，繕具訴願書經由本會（新北市板橋區縣民大道二段7號18樓）向行政院提起訴願。惟依訴願法第93條第1項規定，除法律另有規定外，訴願之提起並不停止本處分之執行，受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者，即依行政執行法第4條第1項但書規定，移送法務部行政執行署各分署辦理行政執行。
正本：安達國際人壽保險股份有限公司(代表人李ОО女士)
副本：本會檢查局、保險局