新聞稿
金管會對國泰世華商業銀行機房電力設備異常及網路銀行、行動銀行交易緩慢事件所涉缺失之行政處分
2022-12-29
金融監督管理委員會(下稱金管會)通過對國泰世華商業銀行(下稱國泰世華銀行)違反法令之裁罰處分案。國泰世華銀行近期發生資訊中心機房電力設備異常及網路銀行、行動銀行交易緩慢等事件,影響客戶使用金融服務之穩定性,相關缺失顯示該行就重要資訊系統基礎設施定期維運測試之深度及廣度不足,未完善建立對中台服務系統之管理規範,亦未妥適規劃施工時發生事故之緊急應變機制,核有未完善建立及未確實執行內部控制制度之情事,違反銀行法第45條之1第1項規定及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條規定,並有礙健全經營之虞,爰金管會依銀行法第129條第7款規定核處新臺幣(以下同)1,200萬元罰鍰,併依銀行法第61條之1第1項規定予以糾正,及依同條項第9款規定,命該行調降總經理李OO每月月薪30%,為期3個月。
一、 受裁罰之對象:國泰世華銀行
二、 裁罰之法令依據:銀行法第129條第7款及同法第61條之1第1項
三、 違反事實理由:
(一) 事件經過:
1、 國泰世華銀行內湖資訊中心於111年10月8日上午因大樓業主進行2台老舊高壓變壓器更換工程,過程中發電機出現過熱情形,發電機廠商緊急評估後關閉機房空調以卸載發電機負荷,惟導致該行部分伺服器因過熱而自動關機,造成該行於10:57~15:25間ATM、網路銀行及信用卡收單服務無法正常運作。
2、 另該行111年11月29日及30日自行監控發現該行CUBE App有登入緩慢情形,經研判後於111年12月1日凌晨4:30擴充網路銀行及行動銀行中台服務系統(下稱中台服務系統)前端之「商業邏輯層」資源,惟造成後端「通訊層」交易資訊累積,而於同日 09:30~16:02發生網路銀行及行動銀行交易緩慢。
(二) 國泰世華銀行部分:
1、 未完善建立內部控制制度:
(1) 依「金融機構資通安全防護基準」規定,銀行營運環境實體安全應符合之要求,包括應有足夠營運使用之電力,且應設置環境監控機制管理電力等。該行「機電設備維護管理要點」僅規範設備用電場所應每半年各實施一次機電設備之送電安全檢驗,並未規定該行對於資訊系統基礎設施之定期維運測試,應考量足以涵蓋各種嚴重情境,以致在面臨本次施工情境,發生系統過熱狀況,顯見該行對資訊系統基礎設施定期維運測試之內部規範要求不足。
(2) 未完善建立對中台服務系統之管理規範,致發生對該系統架構與運作掌控不足;擴充資源前未完整評估,對中台服務系統各模組所需資源未同步配合調整;且判斷問題所蒐集之資料不夠,造成後續判斷不佳。
2、 未確實執行內部控制制度:該行「資訊供應商服務管理規則」雖已規定應針對服務供應商之管理活動中不符合預期狀況者提出改善或預防措施,惟該行明知高壓變壓器施作工時長達13小時,卻未妥適安排施工發生事故時之緊急應變方案,以致無替代電力來源可供應變,進而影響相關金融服務及客戶權益。
(三) 總經理部分:銀行總經理依銀行法及相關子法規定,應負責綜理全行業務,督導整合各部門資源,以確保營運不中斷。該行在短期內頻繁發生系統異常事件,且嚴重影響客戶使用金融服務,顯示該行對系統管理之內部控制制度欠佳,總經理核有未善盡督導責任之情事。
四、 裁罰結果:
(一) 裁罰部分:國泰世華銀行違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條規定,並有礙健全經營之虞,依銀行法第129條第7款規定核處1,200萬元罰鍰,併依同法第61條之1第1項規定予以糾正,及依同條項第9款規定,命國泰世華銀行調降總經理李OO每月月薪30%,為期3個月。
(二) 其他監理要求事項:
1、 請該行未來應加強資訊系統基礎設施定期維運測試之深度及廣度,以避免在嚴重情境下再度發生相同情事。
2、 請該行就所提改善措施,應經獨立第三人查核並提報董事會報告,並由稽核單位列管追蹤及納入內部查核重點。
3、 依「銀行資本適足性及資本等級管理辦法」第18條第3項規定,就第二支柱監理審查要求該行增加作業風險之相關資本計提。
4、 請該行全面檢討本案所涉當責人員責任,並研議對委外廠商追償。
5、 請該行加強消費者保護措施,包括在第一時間應即時對外充分說明,加強客服對客戶之說明,並提供客戶多元協處管道。
金管會一向鼓勵金融業利用資訊科技提供客戶金融服務,且為避免金融業過度保守而未能積極更換系統或持續創新,故對於金融業在進行科技創新與數位轉型過程中之缺失有容錯空間。然而國泰世華銀行客戶數眾多,在金融市場上具有系統性之重要地位,該行在短時間內頻繁發生資訊系統及基礎設施異常事件,致多次金融服務中斷,已嚴重影響客戶使用金融服務之穩定性及安全性,已屬銀行內部控制制度面之重大缺失,故對該行進行裁罰。金管會希望銀行確實加強資訊系統及相關基礎設施之維運及控管,以保障客戶使用金融服務之權益及確保民眾對銀行之信賴。
聯絡單位:銀行局金融控股公司組
聯絡電話:(02)8968-9859
如有任何疑問,請來信:本會民意信箱
一、 受裁罰之對象:國泰世華銀行
二、 裁罰之法令依據:銀行法第129條第7款及同法第61條之1第1項
三、 違反事實理由:
(一) 事件經過:
1、 國泰世華銀行內湖資訊中心於111年10月8日上午因大樓業主進行2台老舊高壓變壓器更換工程,過程中發電機出現過熱情形,發電機廠商緊急評估後關閉機房空調以卸載發電機負荷,惟導致該行部分伺服器因過熱而自動關機,造成該行於10:57~15:25間ATM、網路銀行及信用卡收單服務無法正常運作。
2、 另該行111年11月29日及30日自行監控發現該行CUBE App有登入緩慢情形,經研判後於111年12月1日凌晨4:30擴充網路銀行及行動銀行中台服務系統(下稱中台服務系統)前端之「商業邏輯層」資源,惟造成後端「通訊層」交易資訊累積,而於同日 09:30~16:02發生網路銀行及行動銀行交易緩慢。
(二) 國泰世華銀行部分:
1、 未完善建立內部控制制度:
(1) 依「金融機構資通安全防護基準」規定,銀行營運環境實體安全應符合之要求,包括應有足夠營運使用之電力,且應設置環境監控機制管理電力等。該行「機電設備維護管理要點」僅規範設備用電場所應每半年各實施一次機電設備之送電安全檢驗,並未規定該行對於資訊系統基礎設施之定期維運測試,應考量足以涵蓋各種嚴重情境,以致在面臨本次施工情境,發生系統過熱狀況,顯見該行對資訊系統基礎設施定期維運測試之內部規範要求不足。
(2) 未完善建立對中台服務系統之管理規範,致發生對該系統架構與運作掌控不足;擴充資源前未完整評估,對中台服務系統各模組所需資源未同步配合調整;且判斷問題所蒐集之資料不夠,造成後續判斷不佳。
2、 未確實執行內部控制制度:該行「資訊供應商服務管理規則」雖已規定應針對服務供應商之管理活動中不符合預期狀況者提出改善或預防措施,惟該行明知高壓變壓器施作工時長達13小時,卻未妥適安排施工發生事故時之緊急應變方案,以致無替代電力來源可供應變,進而影響相關金融服務及客戶權益。
(三) 總經理部分:銀行總經理依銀行法及相關子法規定,應負責綜理全行業務,督導整合各部門資源,以確保營運不中斷。該行在短期內頻繁發生系統異常事件,且嚴重影響客戶使用金融服務,顯示該行對系統管理之內部控制制度欠佳,總經理核有未善盡督導責任之情事。
四、 裁罰結果:
(一) 裁罰部分:國泰世華銀行違反銀行法第45條之1第1項及其授權訂定之「金融控股公司及銀行業內部控制及稽核制度實施辦法」第3條、第8條規定,並有礙健全經營之虞,依銀行法第129條第7款規定核處1,200萬元罰鍰,併依同法第61條之1第1項規定予以糾正,及依同條項第9款規定,命國泰世華銀行調降總經理李OO每月月薪30%,為期3個月。
(二) 其他監理要求事項:
1、 請該行未來應加強資訊系統基礎設施定期維運測試之深度及廣度,以避免在嚴重情境下再度發生相同情事。
2、 請該行就所提改善措施,應經獨立第三人查核並提報董事會報告,並由稽核單位列管追蹤及納入內部查核重點。
3、 依「銀行資本適足性及資本等級管理辦法」第18條第3項規定,就第二支柱監理審查要求該行增加作業風險之相關資本計提。
4、 請該行全面檢討本案所涉當責人員責任,並研議對委外廠商追償。
5、 請該行加強消費者保護措施,包括在第一時間應即時對外充分說明,加強客服對客戶之說明,並提供客戶多元協處管道。
金管會一向鼓勵金融業利用資訊科技提供客戶金融服務,且為避免金融業過度保守而未能積極更換系統或持續創新,故對於金融業在進行科技創新與數位轉型過程中之缺失有容錯空間。然而國泰世華銀行客戶數眾多,在金融市場上具有系統性之重要地位,該行在短時間內頻繁發生資訊系統及基礎設施異常事件,致多次金融服務中斷,已嚴重影響客戶使用金融服務之穩定性及安全性,已屬銀行內部控制制度面之重大缺失,故對該行進行裁罰。金管會希望銀行確實加強資訊系統及相關基礎設施之維運及控管,以保障客戶使用金融服務之權益及確保民眾對銀行之信賴。
聯絡單位:銀行局金融控股公司組
聯絡電話:(02)8968-9859
如有任何疑問,請來信:本會民意信箱
- 瀏覽人次: 14362
- 更新日期: 2022-12-29
金管會電子地圖
