明年年報須主動揭露資安作為

最近金管會有一項新規定，引起眾人高度關注。在11月30日時，金管會正式發布了一項影響上市櫃公司年報的重要宣布，新修正的「公開發行公司年報應行記載事項準則」中，規定公司要在年報中，針對資通安全風險管理，以及永續發展推動與執行的面向，來強化資訊揭露的透明度。

這項新規定，從明年年報開始實施，也就是在後年公布明年年報時，我們就可以看到上市公司更清楚的資安作為。

原本各家企業資安作為，不是法令要求的揭露內容，但這幾年，臺灣企業資安事件頻傳，動輒出現影響企業營運的重大資安事件，例如多起製造業勒索軟體事件，儘管影響時間可能不長，但的確出現了導致產線停擺或服務中斷的情況。

所以，今年4月底，證交所先要求，上市櫃公司在發生重大資安事件時，得發布重大訊息對外揭露。這項要求，更讓許多過去隱而不談的資安事件，必須公開。也因此，下半年，我們看到了更多臺灣大型企業重大資安事件的訊息。

重大資安事件的公布，只是臨時性的資訊，仍舊無法了解臺灣產業資安的現況，現在，政府更進一步在每年定期公布的年報中，將資安作為揭露列入正式的法令要求，這等於要求企業每年得定期公布資安作為，而不是出事了才要對外說明。

值得注意的是，在三項資安管理揭露要求中，企業必須舉例說明，遇到重大資安事件時，如何因應的做法。這等於要求所有企業都得有一套事先備妥的資安應變措施，像是針對不同的資安事件，各會採取甚麼樣的作法或流程。等到發生重大資安事件時，就得按照這個已經公布的作法來處置。這也會成了各界檢視一家企業因應能力，資安韌性的參考資訊。

另外，在第二十條中，也明訂了公司應揭露資安風險對財物的影響與因應措施。尤其要求，企業必須把最近年度和年報刊印日之前，因為重大資安事件所遭受的損失，可能影響和因應措施，都列出來。這等於要求所有企業更不能將資安事件秘而不宣，關起門來自己處理。

這項年報修正的新要求，不只是讓企業資安作為更透明，也讓臺灣企業的資安災情資訊更透明了。

資安事件向來讓人覺得有一種負面形象的味道，這也讓企業不願意對外揭露太多，但是，當每一家上市公司都必須公開資安災情，誰的資安韌性更強，就成了更重要的事，如何在面對資安事件發生後，有一套快速復原的因應對策，現在更是企業非做不可的法遵重點。

有了資訊就能比較，有比較才會產生競爭，進而帶動臺灣企業各自的資安實力，最後可以促進全產業的資安韌性。這正是這一項法令修正最重要的價值。

 相關報導  企業主動揭露資安作為成法令強制要求，金管會明訂公司年報需記載