上市櫃資安頻傳 開盤前未發佈重訊 重罰500萬
黃厚銘指出,金管會、證交所及櫃買中心已修訂相關法規,要求上市櫃公司於發生重大資安事件時,應即時發佈重大訊息,像是iRent這種重大子公司,和泰車也要代爲公告。是否爲「重大資安事件」由公司來判斷,發佈時間要在次一營業日開盤前2小時(7點前)發佈,若違反沒有公告,就是違反了與證交所簽定的契約。
保險局併力推資安險。保險局指出,資安險有二種,一種是針對大型企業、一種供中小企業,投保意識也日增。據統計,產險公司資安險保費收入由2018年8,908萬元至2022年4億元,資安險投保狀況呈穩定成長,顯示近年企業透過資安保險移轉資安風險意識已逐漸提升。「資料保護責任保險」賣得最好,幾乎國內14家產險業者都有賣。
金管會強化資安管理兵分三路,一是資訊揭露層面:爲使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發佈重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。
二是公司治理層面:金管會依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司爲三等級,分階段要求配置資訊安全人力資源,其中第一級公司115家已於去年底完成設置資安長、資安專責主管及人員;第二級公司1,387家預計於今年底前完成設置資安專責主管及人員。
三是監理協助層面:金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入臺灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入去年度公司治理評鑑指標加分項目。