這幾年來,國內不斷傳出有企業遭遇資安攻擊,為提升國內企業對資訊安全的重視,近年來,金管會不只是要求金融業重視資安,也開始要求上市櫃公司重視資安,希望帶動國內整體資安提升。
事實上,在過去一年,我們看到針對上市櫃公司的資安相關法令不斷釋出,包括,規範企業揭露資安事件重大訊息,要求公司年報記載資安管理作為,以及逐年規範符合條件公司配置相應資安人力,像是今年底就要有113家公司需設置資安長。
究竟主管機關是從那些角度考量?究竟目前上市櫃公司年報揭露資安作為的情形如何?是大家關注的兩大議題,在臺灣2022資安大會的上市櫃資安論壇中,有主管機關與產業專家進一步解析。
主管機關從資訊公開、公司治理、監理協助角度出發,推動各種產業重視資安
企業資安層面的資訊公開揭露已是各國趨勢,臺灣證券交易所電腦作業部副經理廖劍銘表示,在美國,2018年公布了上市公司的資訊安全揭露指引,當時雖屬原則性規範,到了今年3月已有新提案,可能會在2023年第一季開始施行,當中有一規則,就是要求上市公司在遭網路攻擊後,需在4天內提出報告,未來將成更具規範性的法令。
對於臺灣推動企業資安狀態揭露的方式,廖劍銘表示,在資安法遵推動上,可分成三大重要面向,包括:資訊公開、公司治理、監理協助。
以資訊公開而言,最重要就是針對重大資安事件,要求上市櫃公司重大訊息及時說明,以及年報及上市櫃公開說明書揭露,就是希望資訊透明。同時,也要求企業在年報營運概況記載資安安全管理,讓投資人能了解公司在此方面的作為。
以公司治理方面,除了將資安納入內部控制制度、納入公司治理評鑑,更關鍵的部分,是依資安風險程度,要求或鼓勵設置資安長、資安單位及人員。
而在監理協助方面,除了制定上市櫃公司資通安全管控指引,以及成立專案小組推動與教育宣導,重點更放在資安的聯防,推動企業加入領域領域ISAC,或加入TWCERT/CC,期望資安事件一旦發生之際,可以趕快通報,讓整個產業都注意當前的威脅。
金管會去年在11月30日,正式發布新版「公開發行公司年報應行記載事項準則」,要求公司年報揭露資通安全管理作為與資安事件因應,而為了幫助上市櫃公司編寫年報中揭露資安,證交所後也提供了「股東會年報實務參考範例」,安永企管諮詢公司資深總監陳志明,從章節大綱即可看出企業必須揭露的重點要項。
盤點115家資本額百億的上市櫃年報,有113家揭露資安管理架構,資安揭露平均占2.5頁
在資安資訊的揭露方面,除了以重大訊息方式揭露重大資安事件,另一受關注的焦點,是上市櫃公司首度被要求於年報需登載公司的資安管理作為,以及重大資安事件影響。
儘管證交所已提供上市櫃公司資安指引,甚至是股東會年報實務參考範例,讓首次編寫這方面內容的公司能按圖索驥,依照架構來記載自己的作為,但究竟上市櫃公司實際揭露情形,內容是否能滿足各界期望,是主管機關、產業投資人,以及資安界都關注的重點。
對此,我們在今年4月下旬,曾檢視率先出爐的10多家上市櫃公司年報,以了解他們是否如實揭露資安管理作為,以及針對所記載的內容,做出特點歸納與整理。
此刻,所有公司年報都已發布,面對如此龐大的內容,今年在臺灣資安大會期間,也特別邀來安永企管諮詢公司資深總監陳志明,進行大規模的盤點與分析,說明大型上市櫃的資安揭露現況。過程當中,主講者不只是盤點出應揭露的重點大項,並歸納一些重要細項,進而作出統計與解析,還針對各公司揭露詳盡的部分,舉出一些實例,讓外界可以知道其記載內容與呈現形式,供外界與投資人參考,相當難得。
在1千7百多家臺灣上市櫃公司中,安永以資本額100億為條件,在119家公司中,共檢視115家可搜尋到的上市櫃公司年報。
這些年報有何特點?以年報總頁數來看,最薄的有66頁,最厚的是709頁(鴻海),平均每家是317頁;而在資安作為揭露方面,最薄是0.5頁,最多有6到7頁,如兆豐金控、中華電信、中信金控、中國鋼鐵,內容最豐富,以平均頁數而言,每家企業揭露的內容為2.5頁。也就是說,資安作為揭露的部分,占整體年報的千分之七。
而在重點項目的揭露概況上,陳志明表示,就公司資通安全風險管理架構、資安政策、管理方案,在115家公司年報中,僅有兩家公司沒揭露。而在資通安全風險與因應措施上,有4家沒揭露。
揭露人力與經費之餘,14家企業公開重大資安事件成典範
關於企業資安狀態的揭露,不只是在年報裡面敘述,內容詳盡與否,更是值得探討分析的關鍵。陳志明指出,如果企業能夠具體呈現相關資訊,某種程度上,有助於外界與投資人相信公司對於資安的重視程度。
例如,揭露現有資安人員數量的公司有27家,其中以台積電的人數最多,超過500名員工負責資安相關業務,並有超過1千名外部人員負責警勤;揭露資安經費的業者有13家,台積電是投入費用最多的企業,他們在2021年強化資訊安全投資達10億元,玉山金控為3億元,聯發科為2.4億元。富邦金控的記載形式較特別,他們的相關敘述是用比例呈現,年報上的敘述是「資安經費占資訊經費5%」。
在揭露重大資安事件方面,有14家公司在年報當中有相關記載。以元大金控為例,他們坦然敘述一起損失1,950萬元的事件,而這其實就是2021年10月廣為人知的證券業遭受撞庫攻擊活動,當時曾因此導致少數客戶遭受偽冒複委託下單。陳志明指出,當時受害的證券業者不少,但從企業年報揭露資安現況的內容來看,顯然只有元大金控比較透明,願意將這樣的事件與損失揭露。而這也突顯一個奇怪現象,我們看到:有些公司明明發生重大事件,卻未在年報公開,是否意味著他們不把資安事故當一回事?或是要跟主管機關和大眾賭一賭記憶力?
另外,還有一些揭露焦點,包括揭露取得ISO 27001認證的有68家,資安會議次數有52家,教育訓練計畫有82家,以及投保或評估資安險有12家。
基本上,企業在年報揭露提到的資安相關標準,還有很多種,包括NIST CSF、隱私保護的ISO 27701、個資保護的BS 10012、營運持續管理的ISO 22301、資安評估的ISO 15408、工控安全的ISO 62443,以及適用金融業的網路安全評估FFIEC CAT,以及汽車產業資安評估的TISAX等。不過,陳志明也提到,就他所知,有些企業取得ISO 27001,但沒有記載到年報,因此數量至少超過70家。
另外較值得注意的是,在資安會議次數方面,由於會議型態很多元,陳志明認為,越往高層會議揭露會更有意義,讓投資人更買單,畢竟一年兩次的高階資訊安全管理審查會議,與一年12次屬於作業程序的資訊安全小組會議相比,次數的意義是完全不一樣。
要讓年報資安揭露有更好展現形式與效果,可遵循6大原則
特別的是,在這115份年報的資安揭露上,有些企業的展現形式相當用心,是其他公司可以效法的方式,陳志明並用了一些實例來說明。
例如,在資通安全風險管理架構圖表上,中信金控、鴻海與中華電信的呈現方式出色,各自突顯了明確的資安政策與管理組織、資安治理與管理溝通,以及各層級角色與職掌。
陳志明指出,多數公司的組織架構圖,都只有角色與名字,但缺乏權責畫分與運作方式的呈現。一旦能將這些關係描繪出來,將讓組織架構更有層次且立體。
在中信金控的2021股東會年報中,關於資通安全管理策略與架構的揭露,描繪出明確的資安政策與管理組織。
在鴻海的2021股東會年報中,該公司組織架構亦不小,但透過一張圖將資安治理與資安管理做出區分,並呈現出治理階層與管理階層的溝通互動運作方式。
在中華電信的2021股東會年報中,針對資通安全管理策略與架構的揭露,具體展現出各層級角色與職掌。
除此之外,部分企業的年報資安揭露借助表格與圖像化形式,做出不同呈現效果。
如三商美邦人壽與緯創資通,這兩家公司的年報將一些可量化的資安指標內容,以表格做出不同年度的比較,像是近三年的資安預算編列、資安專責人力配置,可以讓外界更容易看出趨勢變化。
在資安風險因應方面,很多公司會陳述自身面臨的風險,但金寶電子最特別,他們將風險內容與因應措施,用一張表格做對比呈現。如此一來,不僅列出風險項目,也說明公司應對風險的具體作為。
在三商美邦人壽的2021股東會年報中,將指標數據透過不同年度來並列呈現,易於突變變化趨勢。
在緯創資通的2021股東會年報中,將績效指標數據化並提供不同年度的比較,呈現逐年概況與變化。
在金寶電子的2021股東會年報中,將風險內容與因應措施以對比方式呈現,可以更好呈現面對個別風險的具體因應作為。
在具體項目及成效評估展現上,有些企業透過圖像化與突顯數字的方式,將重點標示出來。採用這方面作法的公司是中信金控與中華電信。有些公司為了提高揭露資訊可信度,則是提供第三方單位的持續監控圖表,例如,宏碁、緯創資通。
最後一種相當彈性的揭露方式,是提到其他資訊可參考公司永續發展網站,並附上連結網址,而在該公司網站的公司治理-資訊安全頁面,就有不同展現形式的內容。目前採取這種呈現方式的企業,主要是台塑。
在中信金控的2021股東會年報中,將資安防護方面的指標數據以圖像化與數字化方式來呈現。
在中華電信的2021股東會年報中,將資安防護方面的指標數據與以色彩圖像化與數字化呈現。
在宏碁的2021股東會年報中,藉由提供第三方持續監控的數據圖表,增加揭露資訊可信度,同時也將2021年發生的兩次重大資通安全事件,記載於年報。
在台灣塑膠(台塑)的2021股東會年報中,將一些未能在年報充分展現的內容,以附上公司網站連結的方式來提供。
整體而言,企業究竟該如何產出優質的年報資安揭露內容?陳志明建議,在資安管理作為的揭露上,可掌握6大原則,包括:平衡性、清晰性、準確性、可靠性、時效性,以及可比較性。
例如,所謂的平衡性,是指企業公開資安作為之餘,若有資安事件甚至造成財務影響,亦須充分揭露。所謂的清晰性,是指章節編排要清楚,版面設計與文字說明的清晰易讀也很重要,建議善用圖表與指標的方式呈現。
此外,揭露內容要有準確性、具備可靠性,並配合年報製作時限,彙整最新狀況,若是有特殊事件,他建議,利用公開資訊觀測站或企業網站,揭露重大訊息。
若要做出可比較性,企業除了事前可以針對每年的進度與差異來規畫,也能參考同業或領先企業,評估與規畫未來執行方向。
遲早要做不如現在先做!董事會成員具資安背景是未來趨勢
最後,陳志明強調,證交所之所以要求公司公開揭露資安作為,大家需要知道其意義是什麼?無非就是期望公司將當下的規畫與資源,公布給投資大眾知道,讓外界或公司高層能充分理解,落實公司對資通安全的風險揭露,甚至期望可以一年比一年更好。
而面對主管機關的期望,企業需要設想的狀況在於,過往政府推動方式多半會經歷「鼓勵」、「要求」,最終則是「強制」,因此,陳志明認為強制是遲早的事,趁企業現在有餘力,可以把能夠先做的部分做好,未來也會有更多資源可運用。
而從其他國家推動的企業資安要求趨勢來看,包括美國國會與美國證券交易所(SEC)近年都強調一件事,公司需揭露董事會成員是否具備資訊安全方面的專業知識或經驗。顯然,這也將是國內企業未來必須注意的一大重點。
陳志明以摩根史坦利(Morgan Stanley)為例,該公司的15位董事會成員中,就有7位具備網路安全/技術/資訊安全的背景。而從資安長的角度而言,若企業管理高層會有這方面的發展,自身的職涯其實也多了一條路線,因為公司董事會成員的組成,也是需要資安專業。
若想要做好企業年報資安揭露,陳志明認為,近期國際上也有可借鏡的對象,那就是美國消費者信用報告業者Equifax的資安年報,由於這家公司在2017年發生嚴重資安事件,今年是他們首次揭露資安年報,當中的展現方式也足以為借鏡。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-25
2024-11-22
2024-11-24