證期局在10月5日發布了一則條文修正預告,要求公開發行公司的年報,未來要新增一項重要資訊,就是企業資通訊安全的政策、具體管理方案,還有投入了多少資源來推動。這項法條修正公告之後,如果沒有進一步的爭議,就很有機會在年底前上路,未來,上市、上櫃企業明年公布的年報,就需要在年報中揭露自家的資安作為。

金管會去年開始推動資安行動方案,對金融機關提出了許多資安要求,從組織面、治理面、作業面都有不少強化金融資安防護能力的要求,也看到金融機構比過去更加重視資安。

而這次的修法預告,不只是會影響金融產業,而是更進一步擴大到各產業,來推動各產業資安防護實力的提升。雖然只是上市櫃公司必須遵循,上市櫃公司向來是各產業中的指標企業,因為依法要揭露自家營運資訊,影響股民權益的一舉一動都得公開,各界都會用放大鏡來檢視這些企業,他們的策略和作法,更是屢屢成為其他企業借鏡、參考的對象。而年報,就是其中最重要的一份企業經營參考資料。

在過去,年報對於企業資安作為的揭露程度,相當有限。上市櫃企業依法只需要揭露資安風險的暴露情況,或是揭露企業在資安風險管理上的策略,其餘資訊,大多不足。近年新增的重大資通安全事件通報要求,才讓這些指標企業資安作為,在發生事故時,為了自清而必須公開。

但只靠這些資訊,都不足以讓外界,對一家企業如何做好資安,有一個更完整、全貌的了解。直到這次對「公開發行公司年報應行記載事項準則」部分條文的修正。

雖然只是三句話的要求,「資通安全政策、具體管理方案及投入資通安全管理之資源」,這可以涵蓋企業所採取的整體性資安政策的公開,以及具體做法上的說明,還要加上投入資安資源,例如人力、預算等資訊。幾乎是從策略面、執行面和人力預算面的資安作法,都需要揭露。

儘管,這只是原則上的要求,沒有更具體的規範,企業該揭露到多詳細的細節,沒有一套揭露範本,讓企業參考。但是,這卻是臺灣企業建立資安文化、深化資安素養的關鍵一步。

因為,只有將所有資訊都攤在陽光下,創造一種比較、競爭的正面態勢,讓做得好的企業成為模範而引發仿效,讓做不足的企業更加警惕而改善。

那些只是喊喊資安口號、政策宣示,但提不出具體做法和投入資源說明的企業,未來更容易被看破手腳。如此一來,資安的價值,就不只是資安本身的價值,還可以成為一種企業做得比其他人更好的實質競爭力。

企業的資安作為,是一種出事才能看出效果的投資,而且經常被視為是企業的成本,而不是價值。

但是,當政府要求下,企業必須把自己在資安的投資都公開,雖然目前只有這一群指標企業必須如此,更長遠來看,只要出現了認真落實資安的企業,願意揭露詳細的作法,讓眾人看到,一家企業「沒有發生資安事故」,背後其實做了多大、多深的努力和投入,就能讓資安成為企業名聲的要素。

專欄作者

熱門新聞

Advertisement