強化上市櫃資安 金管會抽查家數要翻倍、明定重大性標準

金管會宣佈,已督導證交所和櫃買推動八大資安措施,包括首季抽查資安內控家數翻倍、明定「重大資安事件」需揭露的標準、及續推動加入資安聯防中心等。圖/本報資料照片

上市櫃公司遭駭客網路攻擊事件頻傳,導致客戶資料外泄、或恐遭詐團利用、甚至讓公司資訊系統停擺,爲強化上市櫃公司資通安全,金管會宣佈,已督導證交所和櫃買推動八大資安措施,包括首季抽查資安內控家數翻倍、明定「重大資安事件」需揭露的標準、及續推動加入資安聯防中心等。

目前證交所和櫃買中心對上市櫃公司資安內控制度查覈,抽核家數是佔全體上市櫃公司0.5%,今年首季要翻倍到1%,等於從現行抽查9家、首季就會翻倍抽核到18家,且可能以過去有發生資安事件的挑選標準。

其次,也將明定資安事件的「重大性」標準。證期局副局長黃厚銘說,過去何謂「重大性」是由公司自己判斷,今年首季將明訂「重大性」,指當公司核心資通系統遭入侵,導致無法提供服務時,公司就需上重訊揭露。

他也說,一旦因資安事件導致損失達股本20%或3億元,則需召開記者會對外說明。

第三,鼓勵推動加入TW CERT/CC分享資安事件的情資,類似資安聯防中心。黃厚銘說,只要符合第一級(資本額百億元、臺灣50成分股、電商服務提供者)和第二級(第一級外且近三年未連續虧損且每股淨值高於面額者)都需加入,目前845家、佔54%尚未加入,金管會將會持續鼓勵推動。

其他五項措施,包括1.請證交所和櫃買檢視修正「上市上櫃公司資通安全管控指引」、2.落實企業對子公司資訊安全之監督與管理、3.強化資訊安全人員教育訓練、4.分享資訊安全事件案例,5.協助企業取得資安標準國際認證及取得外部驗證等。