「境界」之外！南山资安爆七大疏失 遭罚240万

金管会今（17）日宣布，因南山网路投保旅平险、以及系统资安政策、管理细节等有缺失，开罚240万元。南山人寿新系统「境界」改善问题尚未解决，甚至还有可能再被开罚，未料先因资安检查被抓到违反《个资法》等缺失，又被开罚，近两个月来，南山已吞下3张罚单，累计罚锾1020万元。

据了解，这次开罚与「境界」改善案无关，金管会保险局列出南山人寿七大缺失，限期1个月改正，并罚240万元。

保险局列出的缺失包括：网路投保旅平险业务，有未进行客户姓名检核作业情况；应用系统安全管理作业手册及各应用系统开发手册等规范内容有欠完备，不利确保应用程式变更的正确性及系统维运安全；委外进行资安网路监控，但有延宕情形，且没有建立非属重大资安事故事件处理程序，同时在行动App维护管理上，没有在内部规范中明定定期检测、密码变更、备份等事项；网路投保个资没有进行管控，竟可以复制到个人电脑；将正式作业主机的个资档案及资料库，复制至开发测试主机作业时，有未去识别化情形；电子商务系统涉及个资的安全设计，没有适当的隐码显示。

同时，保险局认为有4项缺失恐有碍健全经营，包括：资讯安全政策是由总经理核定施行的「资讯安全准则」，未提报董事会；对于应收集、监控的系统稽核轨迹或日志纪录(log)范围尚未明确规范，也未就安全性资讯与事件管理平台监控所发现异常事件的后续处理程序，明确订定于系统稽核轨迹或日志纪录的相关内部管理规范；对资料库存取授权管理欠妥，没有落实最小授权原则；电子商务系统有部分安全设计项目，未符合所订内规的安全要求。

除了1个月内改善相关资安问题，金管会已下「最后通牒」，要求南山在6月底以前，完成「境界」改善，并要求有第三方公正单位进行检测，否则不排除再次开罚。