今(2023) 年以來,上市櫃公司接連傳出「資安異常」,華航、飛宏科技、iRent 都遭「駭客」攻擊,金融監督管理委員會9日要求各上市櫃公司要從「三大面向」強化資安管理,分別為「資訊揭露」、「公司治理」及「監理協助」。並要求一旦造成公司重大損害或影響時,必須在台股開盤前2個小時以前,對外發布重大訊息,若未揭露依法可處以3萬~500萬元罰鍰。
中華航空在2月發布重大訊息,揭露接獲到網路的匿名勒索信,而飛宏科技2月也發布重訊表示,第一時間發現網路資安異常之後,即刻阻斷對外網路連結並通報。以及和泰集團旗下的共享汽車品牌 iRent,也在2月被爆出40萬名消費者的個資遭外洩。
金管會表示,已從「資訊揭露」、「公司治理」及「監理協助」三大面向採取下列措施,以推動強化公司資通安全管理:
一、資訊揭露:
金管會、證交所及櫃買中心已修訂相關法規,要求上市櫃公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。其中,在發布重訊方面,金管會表示,一旦造成公司重大損害或影響,必須在台股開盤前2個小時(上午7點以前),要對外發布重大訊息,若未揭露依法可處以 「3萬~500萬元罰鍰」。
二、公司治理:
金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市櫃公司為 3 等級,分階段要求配置資訊安全人力資源,其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員;第二級公司1387家預計於112年底前完成設置資安專責主管及人員。另為積極協助上市櫃公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
三、監理協助:
金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心共享資安情資;此外公司導入「ISO 27001」、「CNS 2700」 等資訊安全管理系統標準或「取得其他第三方驗證」之標準,並已納入 111 年度公司治理評鑑指標加分項目。
