上海银行于111年9月及112年5月至7月间陆续接获民众投诉,今年也友寄资料到各60家分行显示资料外泄,反映该行资讯安全问题,案经该行查核结果,显示该行有未完善建立及未确实执行内部控制制度之情事,致客户资料外泄,且未能保有相关轨迹。
金管会表示,研判外泄有两种可能,一种是资讯厂商,另一种是行员外泄。
上海银行未完善建立内部控制制度,未订定妥适个人电脑管理者权限规范,该行迟至案发后才明定每半年变更个人电脑管理者权限密码,长期未办理密码变更作业,导致客户资料有外泄风险。
此外,未订定完善可携式设备管理规范。有权使用可携式设备之人员得使用可携式设备将行内资料携出,且无妥适之读取控管措施,不利资讯安全保护。
金管会指出,上海商银未确实执行内部控制制度,该行报表系统未依内部规范,记录个人资料使用情况,留存轨迹资料或相关证据,不利个人资料外泄时,追踪个人资料使用状况,并影响查核期程。
上海银未落实执行内部规范,作业系统上线前及更新时,未能测试出资安监控软体漏洞,并确认其于工作站之执行情形,致未发现该软体有未能正常启动之情形,造成无法控管及记录可携式设备资料之存取,影响查核时效,且无法判断实际损害情形,并不利后续调查程序。
金管会提出四点要求,请上海商行全面检讨本案所涉当责人员及主管责任,惩处程度应与所负责任相当;盘点全行涉及个人资料之各类电脑系统是否均建置留存个人资料使用稽核轨迹,以及清查全行行员查询个人资料相关权限是否符合最小化权限原则,并应定期办理检视权限作业。
第三,建置各类应用系统测试稽核机制及权限范围内不正常查询及下载情形监控分析机制。最后充实稽核人员资讯系统稽核能力,并委托会计师办理全行个人资料保护专案查核。
爆料信箱:news@nextapple.com
★加入《壹苹》Line,和我们做好友!
★下载《壹苹新闻网》APP
★Facebook 按赞追踪