2015 年
2015-08-18
跟著數十間金融單位的腳步,通過金管會稽核
行銷處
在經濟發展過程中,金融服務業一向是具指標意義的根基產業,更扮演支持其他產業發展的重要角色。因此,一旦因營運缺失影響整體業務經營,不但會影響民生經濟與國民日常生活,也會使政府在金融業務管理政策出現問題。
根據研究顯示,在金管會銀行局近兩年監督查核各銀行後所公布的裁罰案件中,內部稽核缺失案件最多的是「總務、資訊、人事管理」的營運作業,共計有 16 件之多,而缺失內容主要是因為資訊與人事控管不周全,以致機敏資料在未經合法授權的情況下外洩,或者是員工缺乏法令遵循的觀念,有意或無意的盗用客戶資訊進行違法行為。
Openfind 在近兩年間,協助多家金融單位改善金管會提出的缺失,進而根據經驗歸納出多個常見的缺失項目,並整理出解決之道提供金融業者參考。
- 外寄的電子郵件沒有建立控管機制。
郵件稽核系統能彈性設定稽核可能含有機密資訊的電子郵件欄位,包括收/寄件人、標題、內文、附檔內容/類型、信件大小等等。而稽核的條件除了一般的個資:姓名、生日、性別之外,還包括機敏資訊如身分證字號、護照號碼等等,對於金融業來說,常使用但也極具重要性的銀行帳號、信用卡號也絕不放過,通通都可列入稽核條件!
.jpg)
郵件歸檔管理系統則提供管理員或是稽核人員設定條件,以追蹤員工已寄出的郵件,並方便統計管理每位員工的收發信情況。系統將已歸檔的信件自動即時檢索,將符合稽核條件可能有問題的信件一個不漏的抓出來,並每天提供日、週、月以及單次執行報表,以符合組織政策與法規的需求。
.jpg)
- 資訊系統作業權限劃分未明確,或使用者權限授予及控管不適當。
郵件稽核系統可針對系統、網域、群組設定不同郵件稽核政策。系統管理者設定稽核政策後即應用到全企業集團,網域管理者的設定可套用到特定事業單位,而群組管理者的設定僅適用到特定群組部門成員帳號。當信件外寄時,需要層層經過部門、事業單位或企業中央制定的稽核政策,形成嚴密的偵測網路。
.jpg)
郵件歸檔管理系統則可以設定多個層級的調閱信件權限。而針對郵件數量大、稽核政策多的企業,可以透過部分授權的方式,授予特定閱信人權限,能夠查閱符合某些檢測規則的郵件。
- 未確實要求子公司改善客戶機敏資料控管流程。
郵件稽核系統提供能讓中央控管單位設定外寄郵件的稽核條件、基層/子公司/分行單位審核郵件的機制,不但可以輕鬆確保基層/子公司/分行單位能貫徹執行總公司的政策,精準稽查問題郵件確保重要資料不外流,也可以加速郵件審核效率及避免機密跨部門曝光。
郵件歸檔管理系統能呈現各種報表以供管理者分析,搜集統計異常郵件,以供管理者處理。要瞭解子公司郵件傳遞的情況,以便追蹤與發現疑似機密資料外洩的信件,則可設定報表需要寄送給總公司的特定收件人,也可以定期寄送系統監控報表。
- 對員工疑似個資外洩事故之後續改善措施不完善。
郵件稽核系統能協助企業避免員工有意/無意的經由郵件洩漏個資。要有安全保護的資料,才能對他人聲明這些資料屬於機密,因此企業可以設定只要外寄郵件有附檔,就需要進行加密,或是只要員工外寄的附檔有加密,就需要通過稽核。
郵件歸檔管理系統能完整統計員工郵件的流向,只要輸入檢索條件及目標對象,系統會依據檢索結果,畫出以目標對象為中心的郵件流向圖。從分析員工郵件往來的情況,及時發現異樣,妥善防堵個資外洩的可能性。
- 未留存稽核軌跡、稽核軌跡留存不完整。
郵件稽核系統能完整記載歷年來稽核郵件紀錄,包含審核人員、審核時間、審核原因,同時提供備註功能方便了解審核當時的情況。在需要調閱資料時,可依照月份、寄件人、審核人等方式查詢,能隨時檢視郵件處理的正確性,也可以匯出報表方便呈報。
郵件歸檔管理服務能滴水不漏的備份所有員工對內、對外往來的郵件,全盤紀錄郵件軌跡,嚴謹釐清個資事件,除了保存公司郵件資產外,也可提供金管會查閱。
針對以上金管會稽核常見缺失項目,金融業若能做到即時掌握資料外洩源頭、謹慎設定階層式稽核策略以方便即時監控,並且定時檢視企業郵件的行為特徵、杜絕人為疏失與確保機密資料傳輸,相信可以順利改善稽核缺失、達到降低風險與妥善管理的目的!