為了強化國內上市櫃公司治理能力,政府近年推動永續、ESG之餘,還有一個重要議題,那就是資安,而這也是全球趨勢。例如,在2018年,美國證券交易委員會(SEC)公布上市公司的資訊安全揭露指引,當時這只是原則性的規範,但在2022年3月,SEC已經提案要求上市公司,在遭網路攻擊後的4天需提出報告,這將讓法令更具規範性。
在臺灣,隨著這幾年上市櫃公司不斷傳出發生資安事件,金管會在2021年開始修正相關法令,加入多項資安強化措施,例如,近期最為大眾所熟知的行動,包括:(1)推動企業揭露資安事件重大訊息,(2)要求公司年報記載資安管理作為,(3)逐年規定符合條件公司配置相應資安人力,不過,相關的強化措施不只上述3項,近日適逢台灣資安主管聯盟成立之際,臺灣證券交易所也在這個場合揭露整體通盤規畫。
這幾年持續發生的許多資安事件,突顯這已是常態發生的情況,加上政府近年持續推動資安即國安的政策,因此,行政院與金管會都相當重視這方面的議題,而且,不只是政府需要資安,產業也需要資安,於是,基於這樣的背景之下,政府要求臺灣證券交易所(證交所),以及證券櫃檯買賣中心(櫃買中心),成立「強化上市櫃資安措施任務小組」。
以近期的新增強化措施而言,臺灣證券交易所副總經理趙龍提到幾個重點,例如,在2021年12月底,他們公布了「上市上櫃公司資通安全管控指引」,協助這些公司強化資安防護與管理機制,以符合新版內控制度處理準則。
證交所會依上市櫃公司風險程度,分階段要求或鼓勵公司設置資安單位及人員,同時,也將逐步推動上市櫃公司加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),建立更完整的資安情資分享環境,未來還會持續成立這類任務性的跨部門專案小組。
針對提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,主要從3大面向來促進與協助,透過資訊公開、公司治理與監理協助這些層面,推動不同產業公司強化資通安全防護。
強化上市櫃資安從3大面向著手
現階段針對上市櫃公司資安管控有多少措施?主管機關是從那些角度來考量?證交所另一位副經理汪厚燊提出進一步的說明。
他表示,主要從三大面向著手:包括資訊公開、公司治理,以及監理協助。
資訊公開
首先,是重大訊息即時說明重大資安事件,去年4月證交所與櫃買中心已修訂相關法令,明確將資通安全表示屬於重大訊息。
其次,是年報及公開說明書需揭露重大資安風險,除了規定風險評估應分析事項、記載重大資安事件,並要敘明資通安全風險管理架構、政策、具體理管方案,以及投入資源,而在今年1月26日的法令修正中,再規範上述資安通安全管理的內容,應記載於營運概況的位置,讓資訊登載位置更明確。
在近期修正法令的施行中,汪厚燊提醒,重大資安事件若預估損失超過公司股本2成,或是三億元,應即時發布重大訊息說明記者會。
而且,自今年開始,依照主管機關要求,證交所與櫃買中心都會針對查核重大訊息資訊揭露內容的妥適性。換言之,過去新推動這樣的政策,一開始要求可能不高,現在將進一步查核內容是否恰當,避免揭露內容只是流於形式。
公司治理
此處有兩項主要措施,分別是資安納入內部控制,以及資安納入公司治理評鑑。
以資安納入內部控制而言,這部分在原有內控處理準則中,就包括檔案及設備之安全控制等10項要求,目前則在人員層面新增多項規範。
例如,將上市櫃公司畫分第一、二、三級,分階段要求或鼓勵公司設置資安長、資安專責單位及資安人員,像是要求2022年底,符合資本額100億、臺灣50成本股公司,以及主要是電子方式媒介商品服務者,需設置資安專責單位、資安長、資安主管,以及至少兩名專責人員。
同時,這裡還規範:公司應將資通安全檢查,納入年度稽核計畫的項目,並特別要求公司內部的稽核人員,應持續進修,包括專業課程、電腦稽核與法律常識。
而在公司治理評鑑方面,也已經將資安納入。在110年度的公司治理評鑑而言,臺灣證券交易所已開始將資安列入評鑑指標,內容是:「公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報」。因此,在法令要求公開這方面資訊之前,已訂於公司治理自評項目。
特別的是,今年度適用的111年度公司治理評鑑,再新增相關內容,是公司導入ISO 27001等資訊安全系統標準並取得第三方驗證,可作為給予加分的項目。
監理協助
證交所已發起多項協助上市櫃公司的行動,例如,今年起,將資安納入內部控制制度查核作業的選定稽核項目,不定期查核;將在上市櫃公司董事進修課程中,加入資安課程。
不定期成立的任務型專案小組,從去年開始進行,包括研議各種上市櫃資安強化措施的可行性,適時提出與資安監管有關的市場規章修改,辦理教育宣導。
還有兩件企業可以特別注意的事項。首先,由於上市櫃公司產業特性不一,規模大小也不同,因此,證交所2021年底訂定上市櫃公司資通安全管控指引,讓企業能夠在資安管理的規畫上,有步驟與項目可作為依循,當中亦包含許多注意事項,像是委外須注意哪些事情,而在資安通報應變、情資評估,以及如何持續精進,也都有提供相關建議。
其次,將推動上市櫃公司加入所屬領域ISAC,或是TWCERT/CC,促進資安情資分享。汪厚燊表示,目前國內的資安情資分享平臺,包括金融領域的F-ISAC、科技領域的SP-ISAC、醫療領域的H-ISAC、能源領域的E-ISAC、通訊領域的C-ISAC、交通領域的T-ISAC。由於上市櫃公司產業不同,還有其他沒辦法加入上述專屬領域,他們將推動公司加入不限產業均能加入的TWCERT/CC,鼓勵免費申請成為會員。
事實上,這方面也已有明確的推動計畫,例如,第一級公司在今年2022上半年就加入,第二級公司在2022下半年到2023年底前加入,第三級公司則在2024年底前加入。
這樣的時程,看起來也是與要求設置資安人力的規範相呼應。
作者:羅正漢