重大資安事件規範上路!證交所明確要求上市櫃公司發生個資外洩或核心系統遭駭客攻擊時應即時發布重訊。本文解析金管會從重大標準、人力配置、資安情資共享等措施,協助企業強化資訊安全管理機制。
今年1月、3月接連發布上市、上(興)櫃的重大訊息發布規範,除了讓公司及外界更瞭解重大訊息處理程序法規外,亦加強對於資安事件重大性定義的執行與判斷。臺灣證券交易所強調會強化上市櫃公司的資訊安全管理機制,明確要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,及損失達一定金額應召開重大訊息記者會。
此次新版的「上市公司重大訊息發布應注意事項參考問答集」及「上(興)櫃公司重大訊息發布應注意事項參考問答集」,定義了資安事件重大性標準,包含核心資通系統、官方網站、機密文件檔案資料,遭駭客攻擊或入侵等,也涵蓋DDoS攻擊與個資外洩的情況。
金管會從三大面向採取相應措施,配合強化的標準規範,透過不同層面的措施推動企業對於資通安全管理的機制:
一、重大標準
重大訊息發布應注意事項參考問答集,新版新增發生資通安全事件時,應如何發布重大訊息的判斷依據,如【公司發生本款事件,依前開評估範圍估算之結果,或媒體報導公司發生本款事件,可能影響投資人之投資決策,或公司之核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資外洩之情事,即屬造成公司重大損害或影響,請以專用格式發布重大訊息。】
並舉例了應納入發布重大訊息之情事:
【公司之核心資通系統、官方網站或機密文件檔案資料等,遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等,致無法營運或正常提供服務,或有個資外洩之情事等。】
二、人力配置
將公司分為三個等級,分階段要求配置資訊安全人力資源,第一級公司需設置資安長、資安專責主管及人員;第二級公司需設置資安專責主管及人員;第三級公司鼓勵配置資安專責人員,從治理層面推動資通安全管理。

圖片來源 : 臺灣證券交易所
三、共享互助
建議上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準,或取得其他第三方驗證之標準並已納入111年度公司治理評鑑指標加分項目,以鼓勵方式推動企業之資通安全管理。
臺灣社會面臨的資安挑戰日益嚴重,政府對此表現出高度重視,除針對上市櫃公司的資訊安全進行一系列規範,金管會更從三大方向著手相應措施,以提高企業對資安重視程度,從上市櫃開始規範強化管理,同時也鼓勵加入共享情資及導入相關資安管理系統。
金管會的規範與措施對提升上市櫃公司的資安管理有一定作用,但由於臺灣中小企業佔據整體多數,早已成為駭客主要的攻擊目標,因此此次金管會發布的規範與措施,不僅是上市櫃企業應配合的管理機制,更是中小企業的參考基準,不只上市櫃企業,中小企業也應積極遵循相關規定,加強資安防護,並可導入第三方認證機構的支援,如ISO 27001,來建立可靠的資訊安全管理系統,以應對日益嚴峻的資安挑戰,這些措施將有助於為資安防護奠定基礎,透過不斷的強化與完善,保障企業和民眾的資訊安全。
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!
參考資料 :