為了推動國內企業落實資安,提升年報資訊揭露品質,金管會在去年11月30日正式完成相關法令修改,要求上市、上櫃及興櫃公司,需在年報記載資安管理作為,不僅提升資訊揭露的透明度,也將促使那些在資安作為上較被動的企業,能夠採取行動,至少建立基本資安管理框架。目前已有少數企業開始釋出2021(110年度)年報,當中也如預期揭露公司資安概況。

隨著3月底年度財務報告公告申報期限截止,按理來說,各上市櫃公司將在3到6月舉行股東常會的前夕,對外發布公司年報,讓投資人與外界進一步了解企業經營狀況,在這份報告中,不只是要列出公司治理、募資、營運、財務等狀況的摘要說明,以及財務績效檢討分析與風險事項等,今年度更是首次揭露企業資安方面的組織架構、政策,以及說明該年度的資安事件。

關於這些內容揭露的時機與數量,根據金管會公布的2022企業年度股東會的舉行時程來看,3月份有1家、4月有14家、5月份456家、6月份1,580家(當中除股東常會也包含股東臨時會),這些公司必須在股東常會7日之前對外公布年報內容,而資本額百億元或外資陸資持股3成以上者,更要提早於14天上傳到證交所網站。

因此,在我們截稿之前(4月25日),單就3、4月份舉行股東常會的公司而言,至少就有力積電、系統電等共15家公司,已經公布包含資安管理作為的股東會年報。而在接下來的兩個月,國內光上市櫃就有一千七百多家公司陸續發布股東會年報。

同時,我們發現,已有少數公司的股東會在更晚舉行,但現在就已提早發布,包括台積電、創意、京城銀、統一超商等公司等。尤其是台積電,股東常會是在6月8日舉行,該公司在4月14日就已釋出股東會年報,早了至少一個半月。

2022年上市櫃公司股東會召開時程

召開月份 該月份召開股東常會公司及數量
3月 新華1家
4月 橋樁、寶島極、欣大健康、強信-KY、系統電、凱鈺、沛波、康科特、長勝、力積電、鉅橡、華鎂鑫、富鼎、綠電等,共14家。
5月 台泥、統一、聯電、鴻海、佳世達、研華、南亞科、中華電、聯發科、陽明、萬海、彰銀、統一超、中租-KY、矽力-KY、台塑化、南電、富邦媒等456家。
6月 台塑、南亞、台化、亞德客、中鋼、和泰車、裕日車、台達電、國巨、台積電、華碩、瑞昱、廣達、友達、長榮、華南金、富邦金、國泰金、開發金、玉山金、元大金、兆豐金、台新金、中信金、第一金、大立光、聯詠、欣興、台灣大、日月光、遠傳、上海商銀、合庫金、豐泰等1,580家。
 資料來源:臺灣證券交易所,iThome整理,2022年4月

在法令開始要求前,早有企業主動揭露資安管理與因應作為

基本上,資安風險也是企業經營風險的一環,部分公司前幾年就開始主動揭露資安做為──早在臺灣政府的法規要求之前,已有少數企業會在風險管理的面向上,揭露資通安全風險及管理措施,台積電就是一例。

過去,該公司在2020年報的風險管理內容揭露中,就已涵蓋資訊技術安全的風險,並對其管理措施做出說明。不僅如此,他們在2020年度企業社會責任報告中,公開了更多相關資訊,包括從2019年開始設立「企業資訊安全組織」,下轄資訊安全處與資訊保護處,揭露內部的企業資訊安全組織架構,以及專屬資訊保護委員會架構,同時說明其工作內容,並提及企業資訊安全組織最高主管,將每半年向董事會審計委員會彙報資安管理成效,以及資安相關議題及方向等。

只是,這些資安治理方面的資訊,企業可能將相關資訊發布在公司網站某處,或是公布不同報告之中,或是不一定會對外公開。

隨著金管會2021年底法令修改,上市櫃公司在2021年報有三大注意要點,其中資通安全是全新重點。在年報中,金管會規範企業需揭露那些資安作為?基本上,有三個重點,分別是:(一)資通安全管理策略與架構,(二)資通安全風險與因應措施,(三)重大資通安全事件

2021股東會年報新亮點:資通安全管理納入營運概況

隨著金管會2021年底法令修改,在現有公布的2021年報中,企業開始揭露資安作為了嗎?是的!幾乎目前發布股東會年報的公司,都公開這方面資訊。

大致來說,以管理面而言,各公司年報中的第五章「營運概況」,增加了「資通安全管理」的項次,說明資通安全風險管理架構政策具體管理方案,以及投入資源;以風險面而言,在後續章節的「風險管理」中,公司也說明了資訊技術安全對公司財務業務的影響及因應措施。同時,也會記載去年至今是否發生重大資安事件,以及危機處理應變機制說明。

目前來看,台積電當然是眾人關注焦點,由於該公司往年揭露許多資安管理方面資訊,現在也將相關內容編制在2021年報之中,較特別的是,台積電在今年的年報中記載了更多資訊,包括年度資安的投入狀況,並提到去年台積電帶領SEMI標準工作組制定半導體資訊安全標準(SEMI 187)一事。

而從現有十多家公司發布的年報來看,我們也對企業的資安狀態,有了更清楚的認識。

揭露企業早已建立資安管理組織架構

過去,國內有些企業很早就看重資安層面的管理,但這些資訊之前可能並未受到重視。

2021年報中,多家企業公開資通安全管理架構發展歷程。例如,在所有金融業之中,將於5月初首先招開股東常會的京城銀行,2021年報已經釋出,當中公布的資訊顯示,該銀行在2015年11月成立資訊安全管理委員會,審查ISMS政策規畫及資安整體執行情形,同時揭露政策、具體管理方案;另一例子,則是全球知名水龍頭零組件商橋樁金屬公司,他們的年報顯示,該公司在2004年制定資訊管理規定,成立資訊安全處統籌相關政策,並於2017年發行資訊安全管理規定,成立資訊安全委員會。

換言之,在這次年報中,我們可以看到一些公司很早就建立資訊安全委員會組織架構,來強化公司地資安管理,或是像台積電等公司,另外還有建立專屬資訊保護委員會,保護公司與客戶機密資訊。

公布年度資安投資與人力狀況

不只是資安管理架構與政策的公開,還有些公司更進一步闡明所投入資源。

例如,台積電公布的資訊中,指出在2021年對於強化資訊安全的投資,超過10億元,並有超過500名員工負責資安相關業務,並有超過1千名外部人員,負責警勤等資安相關工作;在另一家企業:創意電子公布的資訊中,指出2021年投入資安的資源,比2020年費用成長190%。

在京城銀行公布的資訊中,說明共有90名資安人力,包括去年12月新設資訊安全長一職,第二道防線資安推動單位3人,以及第一道防線資安執行單位86人,以及說明投入資安費用共1,284萬元;在統一超公布的資訊中,說明年度資安費用3,774萬,主要投入於網站防護、存取管理與安全性檢測的資安防護產品。

如實公布資安治理處於長期階段

有些資安推動進展較慢的公司,也如實公布資安治理發展現況。例如,在欣大健康公布的年報中,提到2021年他們擬定年度資訊安全政策與程序。而此舉不論是否為因應法令要求而設,但如果從這樣的現況來看,該公司對於資安管理,確實是轉向積極的態度。

也有其他公司坦承未成立資通安全管理部門,但仍表達已強化資訊安全管理,並公布當前的管理政策與具體管理方案,或是表示尚未成立跨部門資訊安全委員會,甚至指出由行政課負責規畫、執行與推動。

上述這些內容,雖然顯示公司的資安成熟度,仍有很大的發展空間,但也反映出這些公司誠實說明資安管理現況,值得大家肯定。畢竟,政府促進企業推動資安,主要目的也是希望更多尚未做好準備的企業,能夠真正為了提升資安,而付諸實際行動,至少對於資安風險評估與資安管理制度建立有所掌握。而隨著相關資訊的透明度提升,也將讓管理高層檢視整體營運概況,以及風險時,能獲得更清楚的認知。

儘管每間公司經營狀況有別,面對資安風險帶來的衝擊也不盡相同。日後這些企業,若能開始展現對於資安管理的積極性,如同在營運、永續的面向上,對於業務與市場經營、環保、ESG、勞資等議題有一樣重視程度,也將是各界所希望看到的。

另外須關注的是,在我們檢視的10多家公司2021年報中,發現有一家上櫃公司,可能沒有注意新的年報規範,雖然在其他重要風險及因應措施上,有說明資安風險評估分析及因應措施,以及資安具體管理方案,但在營運概況的章節上,並未看到資通安全管理策略與架構方面的說明。

對於公司年報揭露未達揭露原則者,證交所表示,他們會在7月進行抽查,發現狀況後將請公司補充必要揭露內容,若遲未改善者,將可開罰24到480萬元。

揭露企業董事會成員具資安背景

關於證交所近年提倡董事會成員的組成,應考量多元化的背景安排,對此,我們在台積電年報中也看到實例,因為該董事會成員專業知識與才能,不只是商務、科技、財會、法律、行銷,其他,資訊安全也被獨立列出,並有一名獨立董事,本身具備這方面的背景。

當然,或許各公司無法都能遴聘資安背景的董事、顧問,因此之前金管會的建議曾提到,或是可設置資安諮詢小組,增納專業人員參與董事會運作,另外,不少資安專家也提到,或是企業資安組織最高主管需定期向董事會成員彙報公司網路風險,讓董事會瞭解資訊並認可相關風險,這也意味著要讓董事會同樣負起責任。

需記載重大資通安全事件及提出說明

在上述資安管理組織架構面向的內容公開之外,年報登載還有兩個資安相關重點,那就是重大資通安全事件的說明,以及資通安全風險與因應措施。

從目前已公開2021年報的公司來看,他們都表示無重大資安事件與財物損失。隨著更多公司年報的揭露,在2021到年報刊印日,公司若有發布資安重大訊息,理論上在事件調查結果、影響程度的揭露上,會有更進一步的公開說明,同樣值得外界留意。

事實上,像是台積電在風險管理的面向上,除了說明資安技術安全為公司帶來的各式風險,同時也提到該公司數年前因購買及安裝內含惡意軟體的設備一事,並提及各方面的改進措施。

無論如何,在金管會對公司年報揭露資訊的新要求之下,企業要能夠正視自身的資安防護不足,而對於已經推動資安的企業,其實也可藉由各個不同層面,來展現自家對資安的重視。

隨著金管會2021年底法令修改,所有公司都必須主動揭露資安管理相關資訊,但由於企業規模大小不同、資安水準不一,今年又是首次在年報要求記載這方面的資訊,對於還在傷腦筋如何揭露企業資安管理資訊的年報編制人員而言,將是新的考驗。 面對這樣的改變,為了幫助上市櫃公司順利編製年報,臺灣證券交易所在去年12月,對於資通安全管理的資訊揭露,公布了最佳實務參考範例,讓上市櫃公司能有所依循方向。

證交所提供最佳實務參考範例

 

圖片來源/臺灣證券交易所

對於資通安全管理的資訊揭露,臺灣證券交易所在去年12月公布了最佳實務參考範,畢竟是首次在年報中開始要求記載這類資訊,當中看來許多範例的內容是以台積電之前的資安管理資訊揭露經驗做為借鏡。(連結:https://cgc.twse.com.tw/lawReport/listCh

熱門新聞

Advertisement