在2021年11月25日,也就是一個月前,金管會發布預告,將修正「公開發行公司建立內部控制制度處理準則」第9條之1及第47條,明定達到一定規模的上市櫃公司,應配置適當的資安人力,並依據不同的規模,要求設置資安長或主管,以及配置專責的資安人員等要求,隨著預告程序完成,在2021年12月28日,這項修正正式施行。

政府機關設置資安長已行之有年,但國內企業一直未能出現這樣的風潮,因此,從2017年開始,對於國內產業對於設置資安長(CISO)的議題,開始持續受到熱烈的探討,期望驅策各產業公司增設資安管理高層,以利資安政策推動與資源協調。

隨著資安威脅日益嚴峻,以及資安長的議題已探討多年,能讓業界先有所準備,自2021年開始,金融業的銀行、保險、證期業者率先受到規範。先前,這些公司就被要求設置資安專責單位,現在則進一步提升至應設置資安長,所有銀行都要這麼做,而保險與證期業者則有不同條件,達到一定規模者亦需設置。更受關注的是,現在,設置資安長一事開始擴及各個產業。

這項資安人力配置新規定,是在12月28日正式施行,金管會正式發布新版「公開發行公司建立內部控制制度處理準則」,這次修正的重點在第9條之1及第47條當中,明訂上市櫃公司需設置資安長,以及資安專責單位。特別的是,由於公司規模與產業別的差異,因此這次修正中,也明確畫分三個級別。

以第一級公司而言,應設資安長與資安專責單位,並在2022年底完成;第二級公司,需設置資安專責單位,並在在2023年底完成;第三級則是至少1名資安專責人員,僅是鼓勵設置。

臺灣上市櫃多個產業龍頭均受規範,需設資安長與資安專責單位

有哪些公司2022年底需設資安長與資安專責單位?從分級標準來看,以第一級的條件而言,包含資本額100億元以上的大型公司,或是前一年底屬於臺灣50指數的高市值公司,同時,將電子商務與人力銀行產業納入。

換言之,光是國內資本額破百億的上市櫃公司就有100多間,加上其他條件不重複的公司,大致將有100多家符合第一級的標準。

若從產業別來看,當中其實包含了水泥、食品、電機、汽車、電信、海運與金融保險業,以及半導體、光電、電子零組件與電腦及週邊設備等。顯然,這意味著這些產業的龍頭,都開始要設置資安長。

接著,有哪些公司2023年底需設資安專責單位?這部分鎖定的是國內普遍的上市櫃公司,因為第二級的條件,就是第一級以外,最近三年度稅前純益未有連續虧損,且每股淨值未低於面額者,基本上,將會有1千多家公司符合此條件。

最後,在上述第一、二級以外的上市櫃公司,也就是最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額的公司,屬於第三級。對於這類公司,新修內控制度準則在此未有太多要求,僅提到應有至少1名資安專責人員,沒有明訂實施時程,但鼓勵設置。

關於上市櫃公司應配置資訊安全人力的一定條件,金管會已有規範,將採循序漸進方式推動辦理,總共分為三級,實施範圍與時程如上表所示。 

近兩個月來,10多家公司接連公告新任命資安長一職

在資安長設置入法後,納入多項法令規範之下,近期不少企業開始採取行動。

首先,由於2021年9月時,銀行、保險、證期業者已先受規範,要求指派副總以上層級擔任資安長,成為法規明訂條文,緩衝期限是到2022年3月底。因此,最近兩個月,我們看到許多業者紛紛採取行動。

例如,在11月,新增設資安長的公司,包括:統一證券、國泰投信、國泰綜合證券、元大證券、玉山金控、群益證券、元大投信與元大銀行;在12月,兆豐國際銀行將既有資安長一職,調整為副總經理層級擔任,台企銀、合作金庫票券金融、華南永昌綜合證券、高雄銀行與兆豐票券金融等,也陸續增設資安長。

此外,在11、12月期間,金管會又宣布,所有上市櫃公司也將受規範,第一級業者需設置資安長與資安專責單位。儘管不少符合條件的大型企業,其實早已將資安視為企業治理重要議題,成立了資訊安全委員會、資安長,或是指派、聘用資安主管。但相對地,還沒做到上述設置的其他公司,就要趁著這一年時間採取行動。

特別的是,在2021在12月初,最新的臺灣50指數成分股的調整預告中,這次新增一家公司──國內上市PCB大廠欣興電子,並於12月20日開盤後生效。等於他們才剛納入臺灣50指數,而該公司在此方面的反應相當迅速,他們在12月16日即宣布,董事會通過新設立資訊長暨資安長一職,等於及早因應這項法令的要求。

在12月新納入臺灣50指數成分公司的上市PCB大廠欣興電子,在12月16日宣布,新增設資訊長暨資安長一職。 

醫療產業將積極設置資安長

另外,在8大關鍵CI領域中,除了金融領域,最近醫療院所領域也在探討設置資安長的議題。

在2021年12月,衛生福利部資訊處處長龐一鳴說明,在資通安全法要求下,公務機關與關鍵CI都需設立資安長,可由機關首長指派副首長或適當人員兼任,因此,屬於公務機關的公立醫院,以及被指定為CI醫院的私立醫院,需強制設置資安長一職,至於其他私立醫院雖沒有受到強制規範,但衛福部也將藉由其他鼓勵方式,讓這些醫院也朝設立資安長的目標前進。

整體而言,從目前規範來看,主要強調公司應指派綜理資訊安全政策推動及資源調度事務之人,兼任資訊安全長,並沒有要求需獨立設資安長,或許是考量目前市場人力的短缺,以及現在還是在推動建立公司資安治理基礎的階段。

而就時機點來看,此事發布時間看起來也相當適合,畢竟國際企業在設置資安長方面走得更前面,國內對此議題也已談論四、五年,至少讓外界有所準備,而從2020年3月開始至今,國內許多產業景氣回升並更鼎盛,市值成長數倍的公司相當多,在公司獲利支撐下促使企業強化資安治理,資源應會更為餘裕。但,國內企業或許也要深想的是,如何趁早掌握資安人才,幫助公司越早做好相關規畫。

無論如何,資安問題就擺在眼前,企業高層若無人重視,誰來推動相關政策與協調資源?但同時要注意的是,公司並不是有了資安長就能無憂,要能真正推動企業內部資安的逐步落實,才能發揮作用。

熱門新聞

Advertisement