上海商銀爆1.4萬名個資外洩 金管會不忍了揪4大缺失:重罰1000萬
17:122023-11-28
旺得富理財網
旺得富編輯中心
-
-
-
-
-
上海商銀個資外洩遭金管會重罰千萬。(圖片來源/中時資料庫)
字體大小:
A+
A-
上海商銀爆出資安問題,計有1.4萬名客戶個資遭外洩,金管會今認定內控有4大缺失,重罰上海商銀1000萬元。
金管會陸續接獲民眾檢舉,指出上海商銀在去年9月及今年5月到7月間,陸續出現個資外洩狀況,有客戶紙本名單包含姓名和身分證遭到外洩攜出,上海商銀對此啟動調查,總計有1.4萬名客戶個資外洩。
金管會今認定,上海商銀對客戶資料保密及資訊安全未完善建立,以及未確實執行內部控制制度,重罰新台幣1000萬。
金管會銀行局副局長童政彰表示,上海商銀客戶資料為之所以外洩,初步認為有兩種可能:一是透過資訊系統接觸到委外廠商;另一則是銀行行員自行攜出。
對此金管會羅列4大缺失,包含:
1、未訂定妥適個人電腦管理者權限規範:上海商銀到案發後才明定每半年變更個人電腦管理者權限密碼。
2、 未訂定完善可攜式設備管理規範:有權使用可攜式設備的人員,可以透過可攜式設備將行內資料帶出,且無妥適之讀取控管措施,不利資訊安全保護。
3、該行案關報表系統未依內部規範,紀錄個人資料使用狀況,不利追蹤個人資料使用狀況。
4、作業系統更新時,未能測試出資安監控軟體漏洞,且未發現軟體未能正常啟動的情形,造成無法控管及記錄可攜式設備資料存取,不利後續調查程序。
金管會同時提出4大監理要求:
1、上海銀行全面檢討此案所涉當責人員及主管責任,懲處程度應與所負責任相當。
2、盤點全行涉及個資的各類電腦系統是否均建置留存個資使用稽核軌跡,並清查全行行員查詢個資相關權限是否符合最小化權限原則,並應定期辦理檢視權限作業。
3、建置各類應用系統測試稽核機制及權限範圍內不正常查詢及下載情形監控分析機制。
4、充實稽核人員資訊系統稽核能力,並委託會計師辦理全行個資保護專案查核。
首頁
論壇
許願
錢包
薪資
任務
排行榜
簽到
勳章
遊戲
股票
考試
全國電Q4營運看年持平;明年H1景氣估偏淡
