2023年還有哪些重要目標?臺灣證券交易所(證交所)公布最新推動現況,例如,要求1,443家第二級公司需在年底前,完成資安主管及至少1名專責人員的設置,而且,個資保護將是下一重點。
今年第二級公司要設置專責資安單位,已有270多家做到
為了強化上市櫃公司資安治理能力,金管會證期局與證交所之前已有公開說明,他們主要從資訊公開、公司治理、監理協助的角度出發,提出多項幫助上市櫃公司資安防護的措施。
關於這一年來的推動情形,從臺灣證券交易所副經理汪厚燊的說明來看,以資訊公開的推動面向而言,不論是重大訊息、年報上的資安揭露,以及內控度措施的資安檢查,都早已完成推動。
不過,在公司治理的推動面向上,我們注意到有兩大新進展受關注,分別是:資安長、資安專責單位及資安人員的設置狀況,以及公司治理評鑑項目的調整。
首先,目前各界最關切的焦點,就是要求上市櫃公司設置相關資安人力。
以2022年底對於第一級公司的要求而言,汪厚燊表示,目前這些被要求的102家上市及13家上櫃公司,均已完成資安長、資安專責主管及至少2名資安專責人員的設置。
而今年的重要進度,就是針對第二級公司的要求。值得我們關注的是,今年受規範的上市櫃公司數量龐大,共有1,443家需在2023年底達目標,完成資安主管及至少1名專責人員的配置。
目前這方面進度如何?汪厚燊指出,根據最新統計顯示(至4月30日止),國內已有270多家公司提早完成目標,比例將近2成,不過,此一進度算是偏慢,畢竟今年已經過去三分之一,仍有8成比例的公司還未行動。
同時,汪厚燊公布了更具體的統計資料,目前還有618家上市公司與553家上櫃公司,尚未完整設置專責資安主管及資安人員。其中,尚未設置資安主管的公司,有上市602家與上櫃546家,尚未設置資安人員的有602家上市與533家上櫃。
整體而言,還有大約1,100多家的上市櫃公司,要在接下來的8個月內,做好填補專責資安人力的工作。對於這樣的結果,我們認為,也反映普遍上市櫃內部缺乏專責資安團隊的現況。
圖片來源/臺灣證券交易所
為了提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,今年重點是在第二級公司,目前尚有1,100多家上市櫃公司要完成資安主管及至少1名專責人員的配置,同時,政府也鼓勵這些公司能加入領域ISAC,或TWCERT等資通安全情資分享平臺,以達資安聯防之效。攝影/iThome
公司治理評鑑加分項目,今年新增導入資安標準並取得驗證
第二個新焦點,是在公司治理評鑑的修正,將完成導入「國際資安標準」並取得外部驗證,納為加分項目,可在公司治理評鑑的總分另加1分。
事實上,我們在2019年即注意到,治理評鑑項目首度新增資安相關內容:「2.24 公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報?」。而在最新第九屆資安治理評鑑中,除了將上述指標的文字做調整,以符合「公開發行公司年報應行記載事項準則」修訂的內容,並特別將導入ISO27001、CNS27001或同等以上的資訊安全管理系統標準,並取得第三方驗證,納為公司治理評鑑的加分項目。
不過,汪厚燊強調,比起國外的公司治理評鑑所設定的資安指標來看,我們還有很大的提升空間。基本上,公司治理評鑑的目的,是促進公司本身主動增進治理水準與動力,藉由每年度自評逐步導引企業採用良善公司治理措施,而在國際間的公司治理評鑑中,資安評鑑指標項目的內容,還會涵蓋更廣。
圖片來源/臺灣證券交易所
以我國公司治理評鑑的資安指標而言,目前主要涵蓋面向是在:政策與機制、流程與基礎架構、引用國際標準,以及第三方驗證。但以道瓊永續指數(DJSI)、明晟永續指數(MSCI ESG)而言,其涵蓋範圍更是包括:定期弱點分析、事件因應、收集與留存資料最小化、政策涵蓋供應鏈及合作伙伴、資安教育訓練。
換言之,儘管國內還沒有將這些方面訂為評鑑項目內容,但企業也可從國際發展態勢作為借鑑,視為增加公司資安治理的要項。
促進資安訊息分享,第一級公司加入ISAC、TWCERT達8成
關於監理協助推動面向的新進展,主要焦點就是著重於資安訊息的分享。去年金管會證期局已開始鼓勵上市櫃公司,加入資通安全情資分享平臺,包括國內各領域ISAC(金融、科技、醫療、能源、通訊、交通),沒有產業限制的TWCERT,以促進上市櫃公司的資安情資分享與聯防。
這方面的進度如何?汪厚燊表示,截至今年3月7日為止,以第一級公司而言,102家上市公司中有91家加入,比例達近9成,13家上櫃公司有10家加入,比例達7成6。
以第二級公司而言,在772家的上市公司中,已經有242家加入,比例為3成1,在671家的上櫃公司中,已經有187家加入,比例為2成7。
總體而言,第一級公司的加入狀況還算不錯,平均在8成左右,但第二級公司還不夠積極。
因此,證交所與櫃買中心希望在2023年底前,能促進更多上市櫃公司加入這類平臺,取得資安預警情資、資安威脅與弱點資訊,以達資安聯防之效。
個資保護將成下一重點,內控查核將新增個資檢查項目
至於2023年下半,主管機關可能提出哪些新規範,汪厚燊透露,個資議題會是一大重點。
關於個資保護,不只是上市櫃公司,所有公司都應該要有所重視,因為近期政府動作連連。例如,在今年5月,國發會祭出防止非公務機關個資外洩的精進措施,就是針對個資而來。而且,個人資料保護法部分條文修正草案通過,將設立「個人資料保護委員會」,並將限期未改善或情節重大的最高罰責提高至1,500萬元。
而針對上市櫃公司,主管機關也將從監理協助的內控查核方面著手,新增加個資查核的項目來因應。
另外,汪厚燊表示,政府為了鼓勵企業重視資安規畫,除了祭出裁罰措施,也有提供獎勵計畫,例如,去年經濟部與財政部發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」,首度將資安投資納入抵稅範圍,為期三年,今年將可開始申請2022年的資安投資抵稅,最晚申請時間是5月底。
針對三大資安作為揭露,證交所增加參考範例
近年來,我國強化上市櫃資安從資訊公開、公司治理,以及監理協助著手,自2023年推動概況來看,資訊公開方面新動向較少,因為多數都已完成,但我們最近發現,證交所在2021年12月底發布針對資安管理的股東會年報最佳實務參考範例,在2023年有新的版本,因此,我們在大會演說結束後詢問汪厚燊,目前看來,新版本是在2023年2月發布,當中對於資通安全風險管理架構、重大資通安全事件、資通安全風險與因應措施等層面的範例數量,將原本的1個變成2個,希望幫助上市櫃公司編製年報的人員有更多參考依據,符合主管機關、產業投資人的期望。
文章來源