三商美邦人壽資安制度缺失 金管會開罰120萬

（中央社記者謝方娪台北22日電）金管會保險局表示，三商美邦人壽作業系統的安全管理流程有數項缺失，未落實執行內控，依法核處新台幣120萬元，並予以糾正。

金融監督管理委員會保險局今天公布對三商美邦人壽裁罰案，針對安全管理流程、資安作業相關缺失，開出新台幣120萬元罰單，並予以1項糾正。

保險局表示，三商美邦人壽辦理保險核心業務主機作業系統的安全管理流程，未落實執行內控，且辦理應用系統開發維護、資料變更作業時，所訂內部規定和系統測試環境建立不夠周延，以致2020年5月下單測試資料遭傳送至正式伺服器並成交，明顯違反保險法。

保險局指出，三商美邦人壽辦理Linux作業系統的安全管理流程，未訂定相關系統參數檢核表並建立定期檢視機制，以致密碼原則和所訂內部規定不符，且Windows系統主機網域使用者密碼變更作業和所訂內部規定也不相符，顯示公司未落實執行內控。

此外，三商美邦人壽辦理資安作業時，有未建立伺服器系統檔案定期清理機制、未辦理主機目錄或檔案存取權的定期評估機制、未開啟重要稽核原則、未訂定資安情資或警訊通報處理標準程序等4項缺失，保險局並指出，三商美邦人壽對外網站存有資安弱點，不利對外網站的安全維護，以上皆有礙健全經營。

金管會提醒，保險業應加強對主機系統的安全管理，並確實辦理各項定期檢核，維護主機系統安全；且保險業辦理應用系統測試作業時，應研擬對應的測試情境並建立對參數及環境的檢視機制，全面清查系統測試環境建立的妥適性。（編輯：潘羿菁）1100322

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。