針對國泰世華銀行今年10月及12月系統頻頻出包,金管會今天宣布開罰國泰世華銀行新台幣1200萬元罰鍰,並命令國泰世華銀行總經理減薪3成、為期3個月。
國泰世華銀行近期發生資訊中心機房電力設備異常及網路銀行、行動銀行交易緩慢等事件,影響客戶使用金融服務之穩定性。金管會表示,相關缺失顯示該行就重要資訊系統基礎設施定期維運測試之深度及廣度不足,未完善建立對中台服務系統之管理規範,亦未妥適規劃施工時發生事故之緊急應變機制,核有未完善建立及未確實執行內部控制制度之情事。
上述事件違反銀行法第45條之1第1項規定及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條規定,並有礙健全經營之虞,爰金管會依銀行法第129條第7款規定核處新臺幣(以下同)1,200萬元罰鍰,併依銀行法第61條之1第1項規定予以糾正,及依同條項第9款規定,命該行調降總經理每月月薪30%,為期3個月。
金管會會表示,鼓勵金融業利用資訊科技提供客戶金融服務,且為避免金融業過度保守而未能積極更換系統或持續創新,故對於金融業在進行科技創新與數位轉型過程中之缺失有容錯空間。
然而,國泰世華銀行客戶數眾多,在金融市場上具有系統性之重要地位,該行在短時間內頻繁發生資訊系統及基礎設施異常事件,致多次金融服務中斷,已嚴重影響客戶使用金融服務之穩定性及安全性,已屬銀行內部控制制度面之重大缺失,故對該行進行裁罰。金管會希望銀行確實加強資訊系統及相關基礎設施之維運及控管,以保障客戶使用金融服務之權益及確保民眾對銀行之信賴。
違反事實理由:
(一) 事件經過:
1、 國泰世華銀行內湖資訊中心於111年10月8日上午因大樓業主進行2台老舊高壓變壓器更換工程,過程中發電機出現過熱情形,發電機廠商緊急評估後關閉機房空調以卸載發電機負荷,惟導致該行部分伺服器因過熱而自動關機,造成該行於10:57~15:25間ATM、網路銀行及信用卡收單服務無法正常運作。
2、 另該行111年11月29日及30日自行監控發現該行CUBE App有登入緩慢情形,經研判後於111年12月1日凌晨4:30擴充網路銀行及行動銀行中台服務系統(下稱中台服務系統)前端之「商業邏輯層」資源,惟造成後端「通訊層」交易資訊累積,而於同日 09:30~16:02發生網路銀行及行動銀行交易緩慢。
(二) 國泰世華銀行部分:
1、 未完善建立內部控制制度:
(1) 依「金融機構資通安全防護基準」規定,銀行營運環境實體安全應符合之要求,包括應有足夠營運使用之電力,且應設置環境監控機制管理電力等。該行「機電設備維護管理要點」僅規範設備用電場所應每半年各實施一次機電設備之送電安全檢驗,並未規定該行對於資訊系統基礎設施之定期維運測試,應考量足以涵蓋各種嚴重情境,以致在面臨本次施工情境,發生系統過熱狀況,顯見該行對資訊系統基礎設施定期維運測試之內部規範要求不足。
(2) 未完善建立對中台服務系統之管理規範,致發生對該系統架構與運作掌控不足;擴充資源前未完整評估,對中台服務系統各模組所需資源未同步配合調整;且判斷問題所蒐集之資料不夠,造成後續判斷不佳。
2、 未確實執行內部控制制度:該行「資訊供應商服務管理規則」雖已規定應針對服務供應商之管理活動中不符合預期狀況者提出改善或預防措施,惟該行明知高壓變壓器施作工時長達13小時,卻未妥適安排施工發生事故時之緊急應變方案,以致無替代電力來源可供應變,進而影響相關金融服務及客戶權益。
(三) 總經理部分:銀行總經理依銀行法及相關子法規定,應負責綜理全行業務,督導整合各部門資源,以確保營運不中斷。該行在短期內頻繁發生系統異常事件,且嚴重影響客戶使用金融服務,顯示該行對系統管理之內部控制制度欠佳,總經理核有未善盡督導責任之情事。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!