關於這次「公開發行公司年報應行記載事項準則」部分條文修正案,金管會證期局在10月5日預告修正草案後,11月25日說明已完成預告程序,並在11月30日正式發布,即日施行。

近年來上市櫃公司重大資安事件頻傳,雖然有些公司積極應對,但許多公司仍然採取消極、被動態度,呈現企業資安水準參差不齊的局面,無法有效提升整體防護力,今年政府開始採取多項行動,希望從政策面推動國內企業在落實資安,在建立基礎時能有依循方向。

對此,金融監督管理委員會(金管會)在11月30日正式公告,發布修正「公開發行公司年報應行記載事項準則」,當中最受矚目的焦點就是,規定公司要在年報公布的內容中,需針對資通安全風險管理,以及永續發展推動與執行的面向,強化資訊揭露的透明度。

事實上,在資安即國安2.0戰略下,近年政府開始推動每個產業都要導入資安,今年已有不少動作。例如,4月27、28日,證交所臺灣證券交易所明令:當上市、上櫃、興櫃公司發生重大資安事件時,需發布重大訊息對外揭露。到了最近,新修的法令規範終於出爐,當中將公司年報揭露資通安全管理作為一事,列入正式的法令要求。

金管會證期局表示,在11月30日,發布修正「公開發行公司年報應行記載事項準則」,對象包含所有上市、上櫃、興櫃與公開發行公司,而在資安管理面,有下列三個重點:

首先,就是明訂資通安全管理的資訊公開,讓投資人能有判斷。

第二,需揭露重大資安事件的損失與影響,並要說明遇到事件時,公司是如何因應。

第三,需揭露資通安全風險對公司財務業務的影響與因應措施。

由上述三點來看,這意味著,公司從明年2022年(111年)開始編製的年報,也就是從2021年(110年)公司年報起,將需載明上述資安管理作為。

在新版準則中,第十八條營運概況記載事項中,增訂第六款(原第六款移為第七款),就是主要對資安資通安全的要求。

該條款明訂:公司要敘述說明包括資通安全風險管理架構、資通安全政策與具體管理方案,以及投入資通安全管理的資源。而這裡的資源,包括人力、作為與預算,例如投入人員總數、相關會議召開次數,或是投保情形等。

同時,為落實公司對資通安全的風險揭露,公司需揭露重大資通安全事件所遭受的損失、可能影響及因應措施。同時,企業須舉例說明影響可包含營運或商譽的層面,而對於無法估計的狀況,也要明確說明無法合理估計的事實。而在第二十條中,也明訂公司應揭露資安風險對財物的影響與因應措施。

關於11月30日所發布的新版「公開發行公司年報應行記載事項準則」,資通安全管理的重點在第十八條營運概況記載事項中所增訂的第六款,明確要求公司年報必須揭露資安管理政策與風險管理架構,以及投入的資源,同時必須說明資安事件的因應,另在第二十條中,也要求需揭露資通安全風險對公司財務業務的影響與因應措施。

在這樣的法令之下,勢必促進更多企業積極建立資安治理基礎。過去,已有一些企業展現對資安的重視,例如,主動在網站上公布資安政策、組織架構與目標,或是在年報中的其他重要風險管理因應面向,提及相關作為。事實上,早在前兩年,證交所於新版公司治理評鑑指標也納入資安項目,現在,法規更是明訂企業須在年報公開揭露這方面的資訊,此舉將促使所有國內上市櫃公司的資安作法,變得更透明,而這些上市櫃公司所揭露的資訊,也將成為各產業其他企業的借鏡與參考。

只是,資訊揭露的程度目前在法令中並未明確定義,這是否會造成企業敷衍了事的狀況?金管會證期局表示,以年報資訊揭露而言,實質面就是將資訊公開,讓投資人能夠判斷。而將資通安全管理作為納入年報說明,其實,在過去,已經歷很長時間的討論,考量到每個企業面臨的狀況不同,因而遲遲無法定案,但現在終於成為法令要求,實屬難得;關於名實是否能相符的質疑,儘管企業公開揭露與實際執行狀況,不一定能畫上等號,但如果企業連形式上的揭露都沒做到,也連基本的資安組織管理架構都無法說明,遑論落實資安治理,因此,這樣的作法仍有其意義。

ESG資訊揭露也是重點,提供明確且易量化的分類

企業在ESG方面的資訊公開揭露,也是金管會本次公告的重點,當中的條文,從公司履行企業社會責任情形,修正為推動永續發展執行情形,而對於ESG資訊的揭露,附表也提供更具體、量化的內容,例如,揭露溫室氣體排放、用水量、廢棄物、女性職員及高階主管占比、職災數據等,讓公司公開的環境及社會議題相關內容,可以更明確。

整體而言,資安與ESG已是企業治理無法迴避的議題,未來政府勢必將有更多作為,帶動整體產業、跟上時代的腳步。

例如,除了上述的公司需發布重大資安事件重大訊息,在年報資訊需揭露資通安全管理作法,金管會在11月25日,公布另一項法規命令修正的預告,要求上市櫃公司配置適當的資安人力,將進一步規範公司在資安治理面,需建立一定的基礎。在此當中,將依據公司規模與經營能力,做出不同要求,以第一級而言,符合資本額百億元,前一年底屬台灣50指數成分公司,或主要經營電商、人力銀行等條件的上市櫃公司,必須在2022年底之前,設置資安長並成立專責單位,預計此修正草案將在通過預告期後,也就是明年初,就會正式發布施行。

熱門新聞

Advertisement