上海銀行於111年9月及112年5月至7月間陸續接獲民眾投訴,今年也友寄資料到各60家分行顯示資料外洩,反映該行資訊安全問題,案經該行查核結果,顯示該行有未完善建立及未確實執行內部控制制度之情事,致客戶資料外洩,且未能保有相關軌跡。
金管會表示,研判外洩有兩種可能,一種是資訊廠商,另一種是行員外洩。
上海銀行未完善建立內部控制制度,未訂定妥適個人電腦管理者權限規範,該行遲至案發後才明定每半年變更個人電腦管理者權限密碼,長期未辦理密碼變更作業,導致客戶資料有外洩風險。
此外,未訂定完善可攜式設備管理規範。有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出,且無妥適之讀取控管措施,不利資訊安全保護。
金管會指出,上海商銀未確實執行內部控制制度,該行報表系統未依內部規範,記錄個人資料使用情況,留存軌跡資料或相關證據,不利個人資料外洩時,追蹤個人資料使用狀況,並影響查核期程。
上海銀未落實執行內部規範,作業系統上線前及更新時,未能測試出資安監控軟體漏洞,並確認其於工作站之執行情形,致未發現該軟體有未能正常啟動之情形,造成無法控管及記錄可攜式設備資料之存取,影響查核時效,且無法判斷實際損害情形,並不利後續調查程序。
金管會提出四點要求,請上海商行全面檢討本案所涉當責人員及主管責任,懲處程度應與所負責任相當;盤點全行涉及個人資料之各類電腦系統是否均建置留存個人資料使用稽核軌跡,以及清查全行行員查詢個人資料相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
第三,建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。最後充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個人資料保護專案查核。
爆料信箱:news@nextapple.com
★加入《壹蘋》Line,和我們做好友!
★下載《壹蘋新聞網》APP
★Facebook 按讚追蹤
點擊閱讀下一則新聞
IG限動加入新貼紙 分享喜歡的音樂再添神秘感
