為了強化國內上市櫃公司治理能力,政府近年推動永續、ESG之餘,還有一個重要議題,那就是資安,而這也是全球趨勢。例如,在2018年,美國證券交易委員會(SEC)公布上市公司的資訊安全揭露指引,當時這只是原則性的規範,但在2022年3月,SEC已經提案要求上市公司,在遭網路攻擊後的4天需提出報告,這將讓法令更具規範性。
在臺灣,隨著這幾年上市櫃公司不斷傳出發生資安事件,金管會在2021年開始修正相關法令,加入多項資安強化措施,例如,近期最為大眾所熟知的行動,包括:(1)推動企業揭露資安事件重大訊息,(2)要求公司年報記載資安管理作為,(3)逐年規定符合條件公司配置相應資安人力,不過,相關的強化措施不只上述3項,近日適逢台灣資安主管聯盟成立之際,臺灣證券交易所也在這個場合揭露整體通盤規畫。
這幾年持續發生的許多資安事件,突顯這已是常態發生的情況,加上政府近年持續推動資安即國安的政策,因此,行政院與金管會都相當重視這方面的議題,而且,不只是政府需要資安,產業也需要資安,於是,基於這樣的背景之下,政府要求臺灣證券交易所(證交所),以及證券櫃檯買賣中心(櫃買中心),成立「強化上市櫃資安措施任務小組」。
以近期的新增強化措施而言,臺灣證券交易所副總經理趙龍提到幾個重點,例如,在2021年12月底,他們公布了「上市上櫃公司資通安全管控指引」,協助這些公司強化資安防護與管理機制,以符合新版內控制度處理準則。
證交所會依上市櫃公司風險程度,分階段要求或鼓勵公司設置資安單位及人員,同時,也將逐步推動上市櫃公司加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),建立更完整的資安情資分享環境,未來還會持續成立這類任務性的跨部門專案小組。
針對提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,主要從3大面向來促進與協助,透過資訊公開、公司治理與監理協助這些層面,推動不同產業公司強化資通安全防護。
強化上市櫃資安從3大面向著手
現階段針對上市櫃公司資安管控有多少措施?主管機關是從那些角度來考量?證交所另一位副經理汪厚燊提出進一步的說明。
他表示,主要從三大面向著手:包括資訊公開、公司治理,以及監理協助。
資訊公開
首先,是重大訊息即時說明重大資安事件,去年4月證交所與櫃買中心已修訂相關法令,明確將資通安全表示屬於重大訊息。
其次,是年報及公開說明書需揭露重大資安風險,除了規定風險評估應分析事項、記載重大資安事件,並要敘明資通安全風險管理架構、政策、具體理管方案,以及投入資源,而在今年1月26日的法令修正中,再規範上述資安通安全管理的內容,應記載於營運概況的位置,讓資訊登載位置更明確。
在近期修正法令的施行中,汪厚燊提醒,重大資安事件若預估損失超過公司股本2成,或是三億元,應即時發布重大訊息說明記者會。
而且,自今年開始,依照主管機關要求,證交所與櫃買中心都會針對查核重大訊息資訊揭露內容的妥適性。換言之,過去新推動這樣的政策,一開始要求可能不高,現在將進一步查核內容是否恰當,避免揭露內容只是流於形式。
公司治理
此處有兩項主要措施,分別是資安納入內部控制,以及資安納入公司治理評鑑。
以資安納入內部控制而言,這部分在原有內控處理準則中,就包括檔案及設備之安全控制等10項要求,目前則在人員層面新增多項規範。
例如,將上市櫃公司畫分第一、二、三級,分階段要求或鼓勵公司設置資安長、資安專責單位及資安人員,像是要求2022年底,符合資本額100億、臺灣50成本股公司,以及主要是電子方式媒介商品服務者,需設置資安專責單位、資安長、資安主管,以及至少兩名專責人員。
同時,這裡還規範:公司應將資通安全檢查,納入年度稽核計畫的項目,並特別要求公司內部的稽核人員,應持續進修,包括專業課程、電腦稽核與法律常識。
而在公司治理評鑑方面,也已經將資安納入。在110年度的公司治理評鑑而言,臺灣證券交易所已開始將資安列入評鑑指標,內容是:「公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報」。因此,在法令要求公開這方面資訊之前,已訂於公司治理自評項目。
特別的是,今年度適用的111年度公司治理評鑑,再新增相關內容,是公司導入ISO 27001等資訊安全系統標準並取得第三方驗證,可作為給予加分的項目。
監理協助
證交所已發起多項協助上市櫃公司的行動,例如,今年起,將資安納入內部控制制度查核作業的選定稽核項目,不定期查核;將在上市櫃公司董事進修課程中,加入資安課程。
不定期成立的任務型專案小組,從去年開始進行,包括研議各種上市櫃資安強化措施的可行性,適時提出與資安監管有關的市場規章修改,辦理教育宣導。
還有兩件企業可以特別注意的事項。首先,由於上市櫃公司產業特性不一,規模大小也不同,因此,證交所2021年底訂定上市櫃公司資通安全管控指引,讓企業能夠在資安管理的規畫上,有步驟與項目可作為依循,當中亦包含許多注意事項,像是委外須注意哪些事情,而在資安通報應變、情資評估,以及如何持續精進,也都有提供相關建議。
其次,將推動上市櫃公司加入所屬領域ISAC,或是TWCERT/CC,促進資安情資分享。汪厚燊表示,目前國內的資安情資分享平臺,包括金融領域的F-ISAC、科技領域的SP-ISAC、醫療領域的H-ISAC、能源領域的E-ISAC、通訊領域的C-ISAC、交通領域的T-ISAC。由於上市櫃公司產業不同,還有其他沒辦法加入上述專屬領域,他們將推動公司加入不限產業均能加入的TWCERT/CC,鼓勵免費申請成為會員。
事實上,這方面也已有明確的推動計畫,例如,第一級公司在今年2022上半年就加入,第二級公司在2022下半年到2023年底前加入,第三級公司則在2024年底前加入。
這樣的時程,看起來也是與要求設置資安人力的規範相呼應。
上市上櫃公司資通安全管控指引的篇章與條文
章節 | 章節名稱 | 條文數量 |
第一章 | 總則 | 2條 |
第二章 | 資通安全政策及推動組織 | 4條 |
第三章 | 核心業務及其重要性 | 4條 |
第四章 | 資通系統盤點及風險評估 | 2條 |
第五章 | 資通系統發展及維護安全 | 4條 |
第六章 | 資通安全防護及控制措施 | 12條 |
第七章 | 資通系統或資通服務委外辦理之管理措施 | 3條 |
第八章 | 資通安全事件通報應變及情資評估因應 | 3條 |
第九章 | 資通安全之持續精進及績效管理機制 | 2條 |
第十章 | 附則 | 1條 |
資料來源:臺灣證券交易所,2022年5月 |
檔案下載位置:連結(A045 上市上櫃公司資通安全管控指引)
推動上市櫃公司加入資通安全情資分享平臺
領域資安情資分享平臺 | 主管機關 | 可能參與的上市櫃產業 |
金融領域(F-ISAC) | 金管會 | 金融保險業 |
科技領域(SP-ISAC) | 科技部 | 電機機械、電器電纜、半導體業、電腦及週邊設備業、光電業、電子零組件業、電子通路業、資訊服務業、其他電子業 |
醫療領域(H-ISAC) | 衛福部 | 生技醫療業(需為醫院) |
能源領域(E-ISAC) | 經濟部 | 油電燃氣業 |
通訊領域(C-ISAC) | NCC | 通信網路業 |
交通領域(T-ISAC) | 交通部 | 航運業 |
TWCERT | NCC | 未設參加限制,所有產業均得加入 第一級公司:2022上半年加入 第二級公司:2022下半年到2023年底加入 第三級公司:2024年底加入 |
資料來源:臺灣證券交易所,iThome整理,2022年5月 |
最近半年來,金管會對於「公開發行公司年報應行記載事項準則」的修正中,開始將資安風險評估、資安管理作為、資安重大事件,明確列入年報登載事項,並在今年1月明訂「資通安全管理」的作為,應登載於「營運概況」的項目之中。(圖片來源:臺灣證券交易所)
去年臺灣證券交易所與證券櫃檯買賣中心完成「對上市公司重大訊息之查證暨公開處理程序」、「對上櫃公司重大訊息之查證暨公開處理程序」的修正中,將資通安全事件明確列入重大情事。(圖片來源:臺灣證券交易所)
去年底金管會已完成「公開發行公司建立內部控制制度處理準則」第九條之一、第四十七條的修正中,規範上市櫃公司應配置適當資訊安全人力,並將以循序漸進方式推動辦理。(圖片來源:臺灣證券交易所)
熱門新聞
2024-12-03
2024-11-20
2024-11-15
2024-11-15