文/紀佳妘
金管會公布一項新裁罰案,新安東京海上產險被抓到4項缺失,包括資安專責單位起初僅1人人力,系統弱點、防火牆設定審核等問題未有效發揮職權功能,以及雲端服務控管機制也出包,依法處以120萬元罰鍰、2項糾正;另統計今年以來,保險局已開罰第38張罰單,累計罰鍰金額高達5,080萬元。
金管會表示,新安東京海上產險管理電子商務系統出現4項缺失,首先是該公司2018年8月在資訊部門下增設資安專責單位,依法應配置適當人力資源及設備,負責規劃、監控及執行資訊安全管理作業,但當時僅配有1名資安人力,直至2020年1月起始增加為2人。
金管會在檢查時發現,系統弱點修補管控欠妥,防火牆規則設定審核欠落實,以及未建立重要日誌監控及告警機制等資安防護作業欠妥事項,顯示資安專責單位未能妥適行使職權及有效發揮監督功能,核處罰鍰60萬元。
第二,新安東京海上產險2018年4月16日租用雲端基礎設施(IAAS),運用Google Cloud Platform(GCP),以雲端架構建置「吉時保網路投保系統」,查有未妥善訂定資料加密金鑰管理程序、未訂定妥適的緊急應變計畫及退場機制等情況。
不僅如此,在辦理「吉時保網路投保系統」的開發及維護作業,未受公司網路保護機制管控,主機系統日誌未納入資訊部門集中管控,與公司所訂內部規定不符,顯示雲端服務控管機制欠妥,這部分也開罰60萬元。
另外,針對資安管理部分,有提報董事會的資安整體執行報告不夠完整、對廠商交付的報告未確實檢核等缺失,不利資訊安全防護;至於委外廠商管理部分,所訂委外開發人事系統合約,同意廠商遠端連線辦理維護,未妥為評估必要性及資安風險,兩者皆有礙健全經營之虞,處以2項糾正。
綜合上述4項缺失,金管會最後開罰120萬元、2項糾正,同時也提醒保險業辦理電子商務,應確實建置或完備電子商務系統資訊安全管理規範及標準作業程序,並配置適當人力落實執行。
除此之外,這也是金管會保險局今年開出的第38張罰單,累計罰鍰金額高達5,080萬元,與去年罰單總額1億3,560萬元相比,占比接近4成;以產、壽目前罰單最高金額來看,分別是南山人壽因業務員帶刷保費近8億元,遭罰760萬元、新光產險則爆關係人交易而挨罰450萬元。
即時新聞資訊不漏接》》》快來追蹤好險網 Telegram 頻道
《延伸閱讀》
《開老車也有2款保單必保!網逆風留言「不用保」遭嗆:撞到豪車等賣腎》
《怕副作用上身!母打疫苗前「邊哭邊交代後事」 網狂勸:先買疫苗險吧》
《欠債也不怕被扣押!1、3萬紓困金入帳誰也拿不走 教你2招辨別自保》
