本文共923字
又一家國銀被罰。金管會今天宣布,上海銀行對客戶資料保密及資訊安全有未完善建立及未確實執行內部控制制度情事,案關缺失核有違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條第1項第2款第2目規定,因此,依銀行法第129條第7款規定,核處1000萬元罰鍰。
金管會清查,上海商銀65家分行中,每個分行至少100個客戶,合計大約有14000人次的個資,包括姓名及身份證資料外洩的情況,亦即遭攜出行外。
金管會指出,在111年9月及112年5月至7月間陸續接獲民眾反映該行資訊安全問題,案經查核結果,顯示有未完善建立及未確實執行內部控制制度情事,致客戶資料外洩,且未能保有相關軌跡,因此開罰。
金管會表示,上海商銀缺失包括,
(一)未完善建立內部控制制度:
1. 未訂定妥適個人電腦管理者權限規範:該行遲至案發後始明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,致客戶資料有外洩風險。
2. 未訂定完善可攜式設備管理規範:有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
(二)未確實執行內部控制制度:
1. 該.行案關報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
2. 該行未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。
金管會也表示,已要求上海商銀進行後續的追查及究責,包括:
1. 全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當。
2. 要該行盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
3. 請該行建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。
4. 請該行充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言