【臺灣資安大會直擊】上市櫃企業年報資安揭露現況大公開，115家中有113揭露資安管理架構，有14家如實說明重大資安事件

這幾年來，國內不斷傳出有企業遭遇資安攻擊，為提升國內企業對資訊安全的重視，近年來，金管會不只是要求金融業重視資安，也開始要求上市櫃公司重視資安，希望帶動國內整體資安提升。

事實上，在過去一年，我們看到針對上市櫃公司的資安相關法令不斷釋出，包括，規範企業揭露資安事件重大訊息，要求公司年報記載資安管理作為，以及逐年規範符合條件公司配置相應資安人力，像是今年底就要有113家公司需設置資安長。

究竟主管機關是從那些角度考量？究竟目前上市櫃公司年報揭露資安作為的情形如何？是大家關注的兩大議題，在臺灣2022資安大會的上市櫃資安論壇中，有主管機關與產業專家進一步解析。

主管機關從資訊公開、公司治理、監理協助角度出發，推動各種產業重視資安

企業資安層面的資訊公開揭露已是各國趨勢，臺灣證券交易所電腦作業部副經理廖劍銘表示，在美國，2018年公布了上市公司的資訊安全揭露指引，當時雖屬原則性規範，到了今年3月已有新提案，可能會在2023年第一季開始施行，當中有一規則，就是要求上市公司在遭網路攻擊後，需在4天內提出報告，未來將成更具規範性的法令。

對於臺灣推動企業資安狀態揭露的方式，廖劍銘表示，在資安法遵推動上，可分成三大重要面向，包括：資訊公開、公司治理、監理協助。

以資訊公開而言，最重要就是針對重大資安事件，要求上市櫃公司重大訊息及時說明，以及年報及上市櫃公開說明書揭露，就是希望資訊透明。同時，也要求企業在年報營運概況記載資安安全管理，讓投資人能了解公司在此方面的作為。

以公司治理方面，除了將資安納入內部控制制度、納入公司治理評鑑，更關鍵的部分，是依資安風險程度，要求或鼓勵設置資安長、資安單位及人員。

而在監理協助方面，除了制定上市櫃公司資通安全管控指引，以及成立專案小組推動與教育宣導，重點更放在資安的聯防，推動企業加入領域領域ISAC，或加入TWCERT/CC，期望資安事件一旦發生之際，可以趕快通報，讓整個產業都注意當前的威脅。

金管會去年在11月30日，正式發布新版「公開發行公司年報應行記載事項準則」，要求公司年報揭露資通安全管理作為與資安事件因應，而為了幫助上市櫃公司編寫年報中揭露資安，證交所後也提供了「股東會年報實務參考範例」，安永企管諮詢公司資深總監陳志明，從章節大綱即可看出企業必須揭露的重點要項。
 

盤點115家資本額百億的上市櫃年報，有113家揭露資安管理架構，資安揭露平均占2.5頁

在資安資訊的揭露方面，除了以重大訊息方式揭露重大資安事件，另一受關注的焦點，是上市櫃公司首度被要求於年報需登載公司的資安管理作為，以及重大資安事件影響。

儘管證交所已提供上市櫃公司資安指引，甚至是股東會年報實務參考範例，讓首次編寫這方面內容的公司能按圖索驥，依照架構來記載自己的作為，但究竟上市櫃公司實際揭露情形，內容是否能滿足各界期望，是主管機關、產業投資人，以及資安界都關注的重點。

對此，我們在今年4月下旬，曾檢視率先出爐的10多家上市櫃公司年報，以了解他們是否如實揭露資安管理作為，以及針對所記載的內容，做出特點歸納與整理。

此刻，所有公司年報都已發布，面對如此龐大的內容，今年在臺灣資安大會期間，也特別邀來安永企管諮詢公司資深總監陳志明，進行大規模的盤點與分析，說明大型上市櫃的資安揭露現況。過程當中，主講者不只是盤點出應揭露的重點大項，並歸納一些重要細項，進而作出統計與解析，還針對各公司揭露詳盡的部分，舉出一些實例，讓外界可以知道其記載內容與呈現形式，供外界與投資人參考，相當難得。

在1千7百多家臺灣上市櫃公司中，安永以資本額100億為條件，在119家公司中，共檢視115家可搜尋到的上市櫃公司年報。

這些年報有何特點？以年報總頁數來看，最薄的有66頁，最厚的是709頁（鴻海），平均每家是317頁；而在資安作為揭露方面，最薄是0.5頁，最多有6到7頁，如兆豐金控、中華電信、中信金控、中國鋼鐵，內容最豐富，以平均頁數而言，每家企業揭露的內容為2.5頁。也就是說，資安作為揭露的部分，占整體年報的千分之七。

而在重點項目的揭露概況上，陳志明表示，就公司資通安全風險管理架構、資安政策、管理方案，在115家公司年報中，僅有兩家公司沒揭露。而在資通安全風險與因應措施上，有4家沒揭露。

揭露人力與經費之餘，14家企業公開重大資安事件成典範

關於企業資安狀態的揭露，不只是在年報裡面敘述，內容詳盡與否，更是值得探討分析的關鍵。陳志明指出，如果企業能夠具體呈現相關資訊，某種程度上，有助於外界與投資人相信公司對於資安的重視程度。

例如，揭露現有資安人員數量的公司有27家，其中以台積電的人數最多，超過500名員工負責資安相關業務，並有超過1千名外部人員負責警勤；揭露資安經費的業者有13家，台積電是投入費用最多的企業，他們在2021年強化資訊安全投資達10億元，玉山金控為3億元，聯發科為2.4億元。富邦金控的記載形式較特別，他們的相關敘述是用比例呈現，年報上的敘述是「資安經費占資訊經費5%」。

在揭露重大資安事件方面，有14家公司在年報當中有相關記載。以元大金控為例，他們坦然敘述一起損失1,950萬元的事件，而這其實就是2021年10月廣為人知的證券業遭受撞庫攻擊活動，當時曾因此導致少數客戶遭受偽冒複委託下單。陳志明指出，當時受害的證券業者不少，但從企業年報揭露資安現況的內容來看，顯然只有元大金控比較透明，願意將這樣的事件與損失揭露。而這也突顯一個奇怪現象，我們看到：有些公司明明發生重大事件，卻未在年報公開，是否意味著他們不把資安事故當一回事？或是要跟主管機關和大眾賭一賭記憶力？

另外，還有一些揭露焦點，包括揭露取得ISO 27001認證的有68家，資安會議次數有52家，教育訓練計畫有82家，以及投保或評估資安險有12家。

基本上，企業在年報揭露提到的資安相關標準，還有很多種，包括NIST CSF、隱私保護的ISO 27701、個資保護的BS 10012、營運持續管理的ISO 22301、資安評估的ISO 15408、工控安全的ISO 62443，以及適用金融業的網路安全評估FFIEC CAT，以及汽車產業資安評估的TISAX等。不過，陳志明也提到，就他所知，有些企業取得ISO 27001，但沒有記載到年報，因此數量至少超過70家。

另外較值得注意的是，在資安會議次數方面，由於會議型態很多元，陳志明認為，越往高層會議揭露會更有意義，讓投資人更買單，畢竟一年兩次的高階資訊安全管理審查會議，與一年12次屬於作業程序的資訊安全小組會議相比，次數的意義是完全不一樣。

要讓年報資安揭露有更好展現形式與效果，可遵循6大原則

特別的是，在這115份年報的資安揭露上，有些企業的展現形式相當用心，是其他公司可以效法的方式，陳志明並用了一些實例來說明。

例如，在資通安全風險管理架構圖表上，中信金控、鴻海與中華電信的呈現方式出色，各自突顯了明確的資安政策與管理組織、資安治理與管理溝通，以及各層級角色與職掌。

陳志明指出，多數公司的組織架構圖，都只有角色與名字，但缺乏權責畫分與運作方式的呈現。一旦能將這些關係描繪出來，將讓組織架構更有層次且立體。

在中信金控的2021股東會年報中，關於資通安全管理策略與架構的揭露，描繪出明確的資安政策與管理組織。

在鴻海的2021股東會年報中，該公司組織架構亦不小，但透過一張圖將資安治理與資安管理做出區分，並呈現出治理階層與管理階層的溝通互動運作方式。

在中華電信的2021股東會年報中，針對資通安全管理策略與架構的揭露，具體展現出各層級角色與職掌。

除此之外，部分企業的年報資安揭露借助表格與圖像化形式，做出不同呈現效果。

如三商美邦人壽與緯創資通，這兩家公司的年報將一些可量化的資安指標內容，以表格做出不同年度的比較，像是近三年的資安預算編列、資安專責人力配置，可以讓外界更容易看出趨勢變化。

在資安風險因應方面，很多公司會陳述自身面臨的風險，但金寶電子最特別，他們將風險內容與因應措施，用一張表格做對比呈現。如此一來，不僅列出風險項目，也說明公司應對風險的具體作為。

在三商美邦人壽的2021股東會年報中，將指標數據透過不同年度來並列呈現，易於突變變化趨勢。

在緯創資通的2021股東會年報中，將績效指標數據化並提供不同年度的比較，呈現逐年概況與變化。

在金寶電子的2021股東會年報中，將風險內容與因應措施以對比方式呈現，可以更好呈現面對個別風險的具體因應作為。

在具體項目及成效評估展現上，有些企業透過圖像化與突顯數字的方式，將重點標示出來。採用這方面作法的公司是中信金控與中華電信。有些公司為了提高揭露資訊可信度，則是提供第三方單位的持續監控圖表，例如，宏碁、緯創資通。

最後一種相當彈性的揭露方式，是提到其他資訊可參考公司永續發展網站，並附上連結網址，而在該公司網站的公司治理－資訊安全頁面，就有不同展現形式的內容。目前採取這種呈現方式的企業，主要是台塑。

在中信金控的2021股東會年報中，將資安防護方面的指標數據以圖像化與數字化方式來呈現。

在中華電信的2021股東會年報中，將資安防護方面的指標數據與以色彩圖像化與數字化呈現。

在宏碁的2021股東會年報中，藉由提供第三方持續監控的數據圖表，增加揭露資訊可信度，同時也將2021年發生的兩次重大資通安全事件，記載於年報。

在台灣塑膠（台塑）的2021股東會年報中，將一些未能在年報充分展現的內容，以附上公司網站連結的方式來提供。

整體而言，企業究竟該如何產出優質的年報資安揭露內容？陳志明建議，在資安管理作為的揭露上，可掌握6大原則，包括：平衡性、清晰性、準確性、可靠性、時效性，以及可比較性。

例如，所謂的平衡性，是指企業公開資安作為之餘，若有資安事件甚至造成財務影響，亦須充分揭露。所謂的清晰性，是指章節編排要清楚，版面設計與文字說明的清晰易讀也很重要，建議善用圖表與指標的方式呈現。

此外，揭露內容要有準確性、具備可靠性，並配合年報製作時限，彙整最新狀況，若是有特殊事件，他建議，利用公開資訊觀測站或企業網站，揭露重大訊息。

若要做出可比較性，企業除了事前可以針對每年的進度與差異來規畫，也能參考同業或領先企業，評估與規畫未來執行方向。

遲早要做不如現在先做！董事會成員具資安背景是未來趨勢

最後，陳志明強調，證交所之所以要求公司公開揭露資安作為，大家需要知道其意義是什麼？無非就是期望公司將當下的規畫與資源，公布給投資大眾知道，讓外界或公司高層能充分理解，落實公司對資通安全的風險揭露，甚至期望可以一年比一年更好。

而面對主管機關的期望，企業需要設想的狀況在於，過往政府推動方式多半會經歷「鼓勵」、「要求」，最終則是「強制」，因此，陳志明認為強制是遲早的事，趁企業現在有餘力，可以把能夠先做的部分做好，未來也會有更多資源可運用。

而從其他國家推動的企業資安要求趨勢來看，包括美國國會與美國證券交易所（SEC）近年都強調一件事，公司需揭露董事會成員是否具備資訊安全方面的專業知識或經驗。顯然，這也將是國內企業未來必須注意的一大重點。

陳志明以摩根史坦利（Morgan Stanley）為例，該公司的15位董事會成員中，就有7位具備網路安全／技術／資訊安全的背景。而從資安長的角度而言，若企業管理高層會有這方面的發展，自身的職涯其實也多了一條路線，因為公司董事會成員的組成，也是需要資安專業。

若想要做好企業年報資安揭露，陳志明認為，近期國際上也有可借鏡的對象，那就是美國消費者信用報告業者Equifax的資安年報，由於這家公司在2017年發生嚴重資安事件，今年是他們首次揭露資安年報，當中的展現方式也足以為借鏡。

 更多臺灣資安大會特別報導請見