跳到主要內容區塊
:::

金融監督管理委員會及所屬112年度單位預算評估報告

Facebook twitter Plurk print
一六、允宜將金融業近年發生資安事件頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力 日期:111年10月 報告名稱:金融監督管理委員會及所屬112年度單位預算評估報告 目錄大綱:陸、檢查局 資料類別:預算案評估 作者:翁珮珊

檢查局112年度預算案「金融機構檢查」計畫編列2,355萬2千元,係辦理金融機構之檢查、缺失、改善情形追蹤及所報內部稽核報告之處理暨金檢法規之制定修訂等所需經費。經查:

(一)105年起所辦資訊安全專案檢查,銀行業、證券業及保險業有部分缺失

隨著網路科技發展,金融服務數位化為必然發展趨勢,資訊安全提供服務環境信賴度,詢據檢查局表示,已將資訊安全列為一般檢查之查核項目,並依當年度監理需要、數位金融業務發展現況或社會關注之資安議題,決定檢查主題辦理專案檢查以深入檢視相關資安控管之辦理情形,該局於105年至111年7月間對本國銀行、證券業及保險業進行數次資訊安全專案檢查,各專案主題抽檢比率介於5%至100%間,至缺失部分則視違失程度不同,其裁處情形亦有所差異(詳表1)。

表1 105年至111年7月底止資訊安全之專案檢查情形

年度

業別

專案檢查主題

家數

抽檢

比率

檢查有缺失家數

裁處類型及家數

105

銀行業

本國銀行資訊作業專案檢查

13

33.3%

13

105

銀行業

本國銀行電子商務系統資訊作業專案檢查

4

18.2%

4

105

保險業

壽險業資訊作業專案檢查

2

8.3%

2

核處罰鍰60萬元、糾正及限期一個月改善1家

核處罰鍰60萬元及限期改善1家

105

保險業

產險業資訊作業專案檢查

6

33.3%

6

限期改善1家

106

證券業

電子交易專案檢查

5

20.8%

5

函請改善5家

106

銀行業

本國銀行數位金融服務專案檢查

5

13.2%

5

106

銀行業

本國銀行SWIFT系統資安專案檢查

8

21.1%

7

罰款800萬元1家並函請改善

107

銀行業

本國銀行SWIFT系統資安專案檢查

4

10.5%

4

107

銀行業

本國銀行金融服務業網路安全規範遵循度專案檢查

9

100%

9

107

保險業

壽險公司電子商務系統專案檢查

5

35.7%

5

核處罰鍰60萬元及糾正1家

糾正2家

核處罰鍰240萬元、糾正及限期改善1家

核處罰鍰120萬元及糾正1家

108

銀行業

本國銀行主機系統安全維護、監控及緊急應變專案檢查

5

13.9%

5

108

銀行業

本國銀行物聯網設備資安專案檢查

5

17.2%

5

108

銀行業

中華郵政公司資訊系統安全專案檢查

1

100%

1

108

保險業

產險公司資訊作業專案檢查

1

5%

1

糾正1家

109

銀行業

本國銀行主機系統安全維護、監控及緊急應變專案檢查

3

8.3%

3

109

銀行業

本國銀行電子銀行交易面安全設計專案檢查

3

8.3%

3

109

保險業

壽險公司資訊作業專案檢查

2

11.8%

2

核處罰鍰120萬元及糾正1家

核處罰鍰60萬元及糾正1家

109

保險業

電子商務系統專案檢查

3

20%

3

核處罰鍰120萬元及糾正2家

核處罰鍰60萬元及糾正1家

110

證券業

證券公司資訊作業專案檢查

5

20.8%

5

函請改善2家

核處罰鍰48萬元、增加自有資本計提及糾正2家

核處罰鍰24萬元、增加自有資本計提及糾正1家

110

保險業

個資保護專案檢查

3

產險5%、

壽險9.5%

3

糾正1家

說 明:抽檢比率=各業別受檢總機構家數/各業別符合篩選條件總家數。

資料來源:金管會。

(二)允宜將金融業近年發生資安事件頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形

觀諸前述105年至111年7月間專案檢查之業別及抽檢比率,其中證券業進行專案檢查之次數相對較低,僅分別於106年及110年進行專案檢查,抽檢比率皆為20.8%,詢據檢查局表示,109年起已責請證券周邊單位對證券商資安加強查核,該局則聚焦特定風險業務項目,適時規劃辦理證券商資安主題式專案檢查,及周邊單位專案檢查,並將周邊單位查核證券商資安作業品質列為重點查核事項;惟檢視109年至111年間,部分銀行業者及證券期貨商陸續發生駭客入侵或內部系統異常等資訊安全事件(如表2),鑒於檢查具缺失稽核功能,專案檢查較一般檢查亦更具深度,允宜將金融業近年發生資安事件之頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力。

表2 109年至111年7月底止金融業者資訊安全事件一覽表

年度

受影響之金融機構

事件概述

109年

1家

銀行業者

該行因資訊系統轉換隔日陸續發生自動化服務設備(ATM)短暫服務中斷及網路銀行登入困難等情事,造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況。

110年

7家

證券商

因證券商未落實網路下單系統登入應採雙因子驗證致複委託下單系統遭駭客成功入侵,且有客戶帳戶遭偽冒下單港股情事,經證券商以錯帳方式處理後,投資人未遭受損失。

1家

銀行業者

該行進行系統及資料庫升級作業後,陸續於110年10月及111年2月發生多次系統異常,復於111年3月因EFT系統磁碟機陣列資料讀寫出現異常,造成部分交易扣帳未吐鈔、扣帳未入帳、存款未入帳等情況。

111年截至7月底

1家

銀行業者

12家證券商及9家期貨商

因電信業者網路異常致影響多家證券期貨商之電子下單系統提供服務異常,事件發生時證券期貨商已採行切換備援線路、通知客戶下單替代方式等措施,尚無接獲投資人反應權益受損情事。

4家

證券商

部分證券商遭DdoS分散式阻斷攻擊,因導入流量清洗服務,未造成公司系統任何影響,各服務運作正常。

資料來源:金管會,本中心彙製。

綜上,檢查局於105年至111年7月間辦理多次專案檢查以深入檢視業者相關資安控管之辦理情形,惟其中證券業進行專案檢查之次數相對較低,鑑於近年證券業曾發生因受駭客攻擊而有客戶遭偽冒下單或因電信業者提供之網路服務斷線致下單系統異常等情事,而檢查具缺失稽核功能,宜將近年發生資安事件之頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力。

(分機:8660 翁珮珊)


下載

一六、允宜將金融業近年發生資安事件頻率及態樣納入考量,滾動檢討資訊安全檢查強度及成效情形,以引導業者強化資安防護能力-附件1(doc) (odt) (pdf)
2022-10-01