為了強化國內上市櫃公司治理能力,政府近年推動永續、ESG之餘,還有一個重要議題,那就是資安,而這也是全球趨勢。例如,在2018年,美國證券交易委員會(SEC)公布上市公司的資訊安全揭露指引,當時這只是原則性的規範,但在2022年3月,SEC已經提案要求上市公司,在遭網路攻擊後的4天需提出報告,這將讓法令更具規範性。

在臺灣,隨著這幾年上市櫃公司不斷傳出發生資安事件,金管會在2021年開始修正相關法令,加入多項資安強化措施,例如,近期最為大眾所熟知的行動,包括:(1)推動企業揭露資安事件重大訊息,(2)要求公司年報記載資安管理作為,(3)逐年規定符合條件公司配置相應資安人力,不過,相關的強化措施不只上述3項,近日適逢台灣資安主管聯盟成立之際,臺灣證券交易所也在這個場合揭露整體通盤規畫

這幾年持續發生的許多資安事件,突顯這已是常態發生的情況,加上政府近年持續推動資安即國安的政策,因此,行政院與金管會都相當重視這方面的議題,而且,不只是政府需要資安,產業也需要資安,於是,基於這樣的背景之下,政府要求臺灣證券交易所(證交所),以及證券櫃檯買賣中心(櫃買中心),成立「強化上市櫃資安措施任務小組」。

以近期的新增強化措施而言,臺灣證券交易所副總經理趙龍提到幾個重點,例如,在2021年12月底,他們公布了「上市上櫃公司資通安全管控指引」,協助這些公司強化資安防護與管理機制,以符合新版內控制度處理準則。

證交所會依上市櫃公司風險程度,分階段要求或鼓勵公司設置資安單位及人員,同時,也將逐步推動上市櫃公司加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),建立更完整的資安情資分享環境,未來還會持續成立這類任務性的跨部門專案小組。

針對提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,主要從3大面向來促進與協助,透過資訊公開、公司治理與監理協助這些層面,推動不同產業公司強化資通安全防護。

強化上市櫃資安從3大面向著手

現階段針對上市櫃公司資安管控有多少措施?主管機關是從那些角度來考量?證交所另一位副經理汪厚燊提出進一步的說明。

他表示,主要從三大面向著手:包括資訊公開、公司治理,以及監理協助。

資訊公開

首先,是重大訊息即時說明重大資安事件,去年4月證交所與櫃買中心已修訂相關法令,明確將資通安全表示屬於重大訊息。

其次,是年報及公開說明書需揭露重大資安風險,除了規定風險評估應分析事項、記載重大資安事件,並要敘明資通安全風險管理架構、政策、具體理管方案,以及投入資源,而在今年1月26日的法令修正中,再規範上述資安通安全管理的內容,應記載於營運概況的位置,讓資訊登載位置更明確。

在近期修正法令的施行中,汪厚燊提醒,重大資安事件若預估損失超過公司股本2成,或是三億元,應即時發布重大訊息說明記者會。

而且,自今年開始,依照主管機關要求,證交所與櫃買中心都會針對查核重大訊息資訊揭露內容的妥適性。換言之,過去新推動這樣的政策,一開始要求可能不高,現在將進一步查核內容是否恰當,避免揭露內容只是流於形式。

公司治理

此處有兩項主要措施,分別是資安納入內部控制,以及資安納入公司治理評鑑。

以資安納入內部控制而言,這部分在原有內控處理準則中,就包括檔案及設備之安全控制等10項要求,目前則在人員層面新增多項規範。

例如,將上市櫃公司畫分第一、二、三級,分階段要求或鼓勵公司設置資安長、資安專責單位及資安人員,像是要求2022年底,符合資本額100億、臺灣50成本股公司,以及主要是電子方式媒介商品服務者,需設置資安專責單位、資安長、資安主管,以及至少兩名專責人員。

同時,這裡還規範:公司應將資通安全檢查,納入年度稽核計畫的項目,並特別要求公司內部的稽核人員,應持續進修,包括專業課程、電腦稽核與法律常識。

而在公司治理評鑑方面,也已經將資安納入。在110年度的公司治理評鑑而言,臺灣證券交易所已開始將資安列入評鑑指標,內容是:「公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報」。因此,在法令要求公開這方面資訊之前,已訂於公司治理自評項目。

特別的是,今年度適用的111年度公司治理評鑑,再新增相關內容,是公司導入ISO 27001等資訊安全系統標準並取得第三方驗證,可作為給予加分的項目。

監理協助

證交所已發起多項協助上市櫃公司的行動,例如,今年起,將資安納入內部控制制度查核作業的選定稽核項目,不定期查核;將在上市櫃公司董事進修課程中,加入資安課程。

不定期成立的任務型專案小組,從去年開始進行,包括研議各種上市櫃資安強化措施的可行性,適時提出與資安監管有關的市場規章修改,辦理教育宣導。

還有兩件企業可以特別注意的事項。首先,由於上市櫃公司產業特性不一,規模大小也不同,因此,證交所2021年底訂定上市櫃公司資通安全管控指引,讓企業能夠在資安管理的規畫上,有步驟與項目可作為依循,當中亦包含許多注意事項,像是委外須注意哪些事情,而在資安通報應變、情資評估,以及如何持續精進,也都有提供相關建議。

其次,將推動上市櫃公司加入所屬領域ISAC,或是TWCERT/CC,促進資安情資分享。汪厚燊表示,目前國內的資安情資分享平臺,包括金融領域的F-ISAC、科技領域的SP-ISAC、醫療領域的H-ISAC、能源領域的E-ISAC、通訊領域的C-ISAC、交通領域的T-ISAC。由於上市櫃公司產業不同,還有其他沒辦法加入上述專屬領域,他們將推動公司加入不限產業均能加入的TWCERT/CC,鼓勵免費申請成為會員。

事實上,這方面也已有明確的推動計畫,例如,第一級公司在今年2022上半年就加入,第二級公司在2022下半年到2023年底前加入,第三級公司則在2024年底前加入。

這樣的時程,看起來也是與要求設置資安人力的規範相呼應。

上市上櫃公司資通安全管控指引的篇章與條文

章節 章節名稱 條文數量
第一章 總則 2條
第二章 資通安全政策及推動組織 4條
第三章 核心業務及其重要性 4條
第四章 資通系統盤點及風險評估 2條
第五章 資通系統發展及維護安全 4條
第六章 資通安全防護及控制措施 12條
第七章 資通系統或資通服務委外辦理之管理措施 3條
第八章 資通安全事件通報應變及情資評估因應 3條
第九章 資通安全之持續精進及績效管理機制 2條
第十章 附則 1條
 資料來源:臺灣證券交易所,2022年5月  

檔案下載位置:連結(A045 上市上櫃公司資通安全管控指引)

推動上市櫃公司加入資通安全情資分享平臺

領域資安情資分享平臺 主管機關 可能參與的上市櫃產業
金融領域(F-ISAC) 金管會 金融保險業
科技領域(SP-ISAC) 科技部 電機機械、電器電纜、半導體業、電腦及週邊設備業、光電業、電子零組件業、電子通路業、資訊服務業、其他電子業
醫療領域(H-ISAC) 衛福部 生技醫療業(需為醫院)
能源領域(E-ISAC) 經濟部 油電燃氣業
通訊領域(C-ISAC) NCC 通信網路業
交通領域(T-ISAC) 交通部 航運業
TWCERT NCC 未設參加限制,所有產業均得加入
第一級公司:2022上半年加入
第二級公司:2022下半年到2023年底加入
第三級公司:2024年底加入
 資料來源:臺灣證券交易所,iThome整理,2022年5月

最近半年來,金管會對於「公開發行公司年報應行記載事項準則」的修正中,開始將資安風險評估、資安管理作為、資安重大事件,明確列入年報登載事項,並在今年1月明訂「資通安全管理」的作為,應登載於「營運概況」的項目之中。(圖片來源:臺灣證券交易所)

去年臺灣證券交易所與證券櫃檯買賣中心完成「對上市公司重大訊息之查證暨公開處理程序」、「對上櫃公司重大訊息之查證暨公開處理程序」的修正中,將資通安全事件明確列入重大情事。(圖片來源:臺灣證券交易所)

去年底金管會已完成「公開發行公司建立內部控制制度處理準則」第九條之一、第四十七條的修正中,規範上市櫃公司應配置適當資訊安全人力,並將以循序漸進方式推動辦理。(圖片來源:臺灣證券交易所)


熱門新聞

Advertisement