指標企業資安作法明年得公開了

證期局在10月5日發布了一則條文修正預告，要求公開發行公司的年報，未來要新增一項重要資訊，就是企業資通訊安全的政策、具體管理方案，還有投入了多少資源來推動。這項法條修正公告之後，如果沒有進一步的爭議，就很有機會在年底前上路，未來，上市、上櫃企業明年公布的年報，就需要在年報中揭露自家的資安作為。

金管會去年開始推動資安行動方案，對金融機關提出了許多資安要求，從組織面、治理面、作業面都有不少強化金融資安防護能力的要求，也看到金融機構比過去更加重視資安。

而這次的修法預告，不只是會影響金融產業，而是更進一步擴大到各產業，來推動各產業資安防護實力的提升。雖然只是上市櫃公司必須遵循，上市櫃公司向來是各產業中的指標企業，因為依法要揭露自家營運資訊，影響股民權益的一舉一動都得公開，各界都會用放大鏡來檢視這些企業，他們的策略和作法，更是屢屢成為其他企業借鏡、參考的對象。而年報，就是其中最重要的一份企業經營參考資料。

在過去，年報對於企業資安作為的揭露程度，相當有限。上市櫃企業依法只需要揭露資安風險的暴露情況，或是揭露企業在資安風險管理上的策略，其餘資訊，大多不足。近年新增的重大資通安全事件通報要求，才讓這些指標企業資安作為，在發生事故時，為了自清而必須公開。

但只靠這些資訊，都不足以讓外界，對一家企業如何做好資安，有一個更完整、全貌的了解。直到這次對「公開發行公司年報應行記載事項準則」部分條文的修正。

雖然只是三句話的要求，「資通安全政策、具體管理方案及投入資通安全管理之資源」，這可以涵蓋企業所採取的整體性資安政策的公開，以及具體做法上的說明，還要加上投入資安資源，例如人力、預算等資訊。幾乎是從策略面、執行面和人力預算面的資安作法，都需要揭露。

儘管，這只是原則上的要求，沒有更具體的規範，企業該揭露到多詳細的細節，沒有一套揭露範本，讓企業參考。但是，這卻是臺灣企業建立資安文化、深化資安素養的關鍵一步。

因為，只有將所有資訊都攤在陽光下，創造一種比較、競爭的正面態勢，讓做得好的企業成為模範而引發仿效，讓做不足的企業更加警惕而改善。

那些只是喊喊資安口號、政策宣示，但提不出具體做法和投入資源說明的企業，未來更容易被看破手腳。如此一來，資安的價值，就不只是資安本身的價值，還可以成為一種企業做得比其他人更好的實質競爭力。

企業的資安作為，是一種出事才能看出效果的投資，而且經常被視為是企業的成本，而不是價值。

但是，當政府要求下，企業必須把自己在資安的投資都公開，雖然目前只有這一群指標企業必須如此，更長遠來看，只要出現了認真落實資安的企業，願意揭露詳細的作法，讓眾人看到，一家企業「沒有發生資安事故」，背後其實做了多大、多深的努力和投入，就能讓資安成為企業名聲的要素。