強化上市櫃資安 金管會抽查家數要翻倍、明定重大性標準

金管會宣佈，已督導證交所和櫃買推動八大資安措施，包括首季抽查資安內控家數翻倍、明定「重大資安事件」需揭露的標準、及續推動加入資安聯防中心等。圖／本報資料照片

上市櫃公司遭駭客網路攻擊事件頻傳，導致客戶資料外泄、或恐遭詐團利用、甚至讓公司資訊系統停擺，爲強化上市櫃公司資通安全，金管會宣佈，已督導證交所和櫃買推動八大資安措施，包括首季抽查資安內控家數翻倍、明定「重大資安事件」需揭露的標準、及續推動加入資安聯防中心等。

目前證交所和櫃買中心對上市櫃公司資安內控制度查覈，抽核家數是佔全體上市櫃公司0.5%，今年首季要翻倍到1%，等於從現行抽查9家、首季就會翻倍抽核到18家，且可能以過去有發生資安事件的挑選標準。

其次，也將明定資安事件的「重大性」標準。證期局副局長黃厚銘說，過去何謂「重大性」是由公司自己判斷，今年首季將明訂「重大性」，指當公司核心資通系統遭入侵，導致無法提供服務時，公司就需上重訊揭露。

他也說，一旦因資安事件導致損失達股本20%或3億元，則需召開記者會對外說明。

第三，鼓勵推動加入TW CERT/CC分享資安事件的情資，類似資安聯防中心。黃厚銘說，只要符合第一級（資本額百億元、臺灣50成分股、電商服務提供者）和第二級（第一級外且近三年未連續虧損且每股淨值高於面額者）都需加入，目前845家、佔54%尚未加入，金管會將會持續鼓勵推動。

其他五項措施，包括1.請證交所和櫃買檢視修正「上市上櫃公司資通安全管控指引」、2.落實企業對子公司資訊安全之監督與管理、3.強化資訊安全人員教育訓練、4.分享資訊安全事件案例，5.協助企業取得資安標準國際認證及取得外部驗證等。