今 (2023) 年以來,上市櫃公司接連傳出資安異常事件,從華航到 iRent 都被「駭」,金管會今 (9) 日要求各上市櫃公司要從三大面向強化資安管理,並要求一旦造成公司重大損害或影響,必須在台股開盤前 2 個小時以前要對外發布重大訊息,若未揭露依法可處以 3 萬~ 500 萬元罰鍰。
華航 (2610-TW) 今年 1 月被踢爆會員資料外流,包括副總統賴清德、名模林志玲的個資都外洩,華航在 2 月 12 日發布重大訊息,揭露接獲網路匿名勒索信;飛宏科技 (2457-TW)2 月 13 日也發布重訊公告表示,第一時間發現網路資安異常後,即刻阻斷對外網路連結並通報檢調。不但如此,和泰集團旗下共享汽車品牌 iRent,也在 2 月被爆出四十萬名消費者的個資遭外洩。
為強化上市(櫃)公司資訊安全管理機制,金管會表示,已從資訊揭露、公司治理及監理協助三大面向採取下列措施,以推動強化公司資通安全管理:
一、資訊揭露層面:為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。
其中,在發布重訊方面,金管會表示,一旦造成公司重大損害或影響,必須在台股開盤前 2 個小時、也就是上午 7 點以前,要對外發布重大訊息,若未揭露依法可處以 3 萬~ 500 萬元罰鍰。
二、公司治理層面:金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司為 3 等級,分階段要求配置資訊安全人力資源,其中第一級公司 115 家已於 111 年底完成設置資安長、資安專責主管及人員;第二級公司 1387 家預計於 112 年底前完成設置資安專責主管及人員。另為積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
三、監理協助層面:金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心 (TWCERT) 共享資安情資;此外公司導入 ISO 27001、CNS 27001 等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入 111 年度公司治理評鑑指標加分項目。
