最新消息與洞察
NEITHNET 資安實驗室
今年1月、3月接連發布上市、上(興)櫃的重大訊息發布規範,除了讓公司及外界更瞭解重大訊息處理程序法規外,亦加強對於資安事件重大性定義的執行與判斷。臺灣證券交易所強調會強化上市櫃公司的資訊安全管理機制,明確要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,及損失達一定金額應召開重大訊息記者會。
此次新版的「上市公司重大訊息發布應注意事項參考問答集」及「上(興)櫃公司重大訊息發布應注意事項參考問答集」,定義了資安事件重大性標準,包含核心資通系統、官方網站、機密文件檔案資料,遭駭客攻擊或入侵等,也涵蓋DDoS攻擊與個資外洩的情況。
金管會從三大面向採取相應措施,配合強化的標準規範,透過不同層面的措施推動企業對於資通安全管理的機制:
一、重大標準
重大訊息發布應注意事項參考問答集,新版新增發生資通安全事件時,應如何發布重大訊息的判斷依據,如【公司發生本款事件,依前開評估範圍估算之結果,或媒體報導公司發生本款事件,可能影響投資人之投資決策,或公司之核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資外洩之情事,即屬造成公司重大損害或影響,請以專用格式發布重大訊息。】
並舉例了應納入發布重大訊息之情事:
【公司之核心資通系統、官方網站或機密文件檔案資料等,遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等,致無法營運或正常提供服務,或有個資外洩之情事等。】
二、人力配置
將公司分為三個等級,分階段要求配置資訊安全人力資源,第一級公司需設置資安長、資安專責主管及人員;第二級公司需設置資安專責主管及人員;第三級公司鼓勵配置資安專責人員,從治理層面推動資通安全管理。
三、共享互助
建議上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準,或取得其他第三方驗證之標準並已納入111年度公司治理評鑑指標加分項目,以鼓勵方式推動企業之資通安全管理。
臺灣社會面臨的資安挑戰日益嚴重,政府對此表現出高度重視,除針對上市櫃公司的資訊安全進行一系列規範,金管會更從三大方向著手相應措施,以提高企業對資安重視程度,從上市櫃開始規範強化管理,同時也鼓勵加入共享情資及導入相關資安管理系統。
金管會的規範與措施對提升上市櫃公司的資安管理有一定作用,但由於臺灣中小企業佔據整體多數,早已成為駭客主要的攻擊目標,因此此次金管會發布的規範與措施,不僅是上市櫃企業應配合的管理機制,更是中小企業的參考基準,不只上市櫃企業,中小企業也應積極遵循相關規定,加強資安防護,並可導入第三方認證機構的支援,如ISO 27001,來建立可靠的資訊安全管理系統,以應對日益嚴峻的資安挑戰,這些措施將有助於為資安防護奠定基礎,透過不斷的強化與完善,保障企業和民眾的資訊安全。
補充資料 :
- https://dsp.twse.com.tw/
- https://dsp.tpex.org.tw/storage/co_download/%E4%B8%8A%E8%88%88%E6%AB%83%E5%85%AC%E5%8F%B8%E9%87%8D%E5%A4%A7%E8%A8%8A%E6%81%AF%E7%99%BC%E5%B8%83%E6%87%89%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A0%85%E5%8F%83%E8%80%83%E5%95%8F%E7%AD%94%E9%9B%86.pdf?t=20240308
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。