最近金管會有一項新規定,引起眾人高度關注。在11月30日時,金管會正式發布了一項影響上市櫃公司年報的重要宣布,新修正的「公開發行公司年報應行記載事項準則」中,規定公司要在年報中,針對資通安全風險管理,以及永續發展推動與執行的面向,來強化資訊揭露的透明度。

這項新規定,從明年年報開始實施,也就是在後年公布明年年報時,我們就可以看到上市公司更清楚的資安作為。

原本各家企業資安作為,不是法令要求的揭露內容,但這幾年,臺灣企業資安事件頻傳,動輒出現影響企業營運的重大資安事件,例如多起製造業勒索軟體事件,儘管影響時間可能不長,但的確出現了導致產線停擺或服務中斷的情況。

所以,今年4月底,證交所先要求,上市櫃公司在發生重大資安事件時,得發布重大訊息對外揭露。這項要求,更讓許多過去隱而不談的資安事件,必須公開。也因此,下半年,我們看到了更多臺灣大型企業重大資安事件的訊息。

重大資安事件的公布,只是臨時性的資訊,仍舊無法了解臺灣產業資安的現況,現在,政府更進一步在每年定期公布的年報中,將資安作為揭露列入正式的法令要求,這等於要求企業每年得定期公布資安作為,而不是出事了才要對外說明。

值得注意的是,在三項資安管理揭露要求中,企業必須舉例說明,遇到重大資安事件時,如何因應的做法。這等於要求所有企業都得有一套事先備妥的資安應變措施,像是針對不同的資安事件,各會採取甚麼樣的作法或流程。等到發生重大資安事件時,就得按照這個已經公布的作法來處置。這也會成了各界檢視一家企業因應能力,資安韌性的參考資訊。

另外,在第二十條中,也明訂了公司應揭露資安風險對財物的影響與因應措施。尤其要求,企業必須把最近年度和年報刊印日之前,因為重大資安事件所遭受的損失,可能影響和因應措施,都列出來。這等於要求所有企業更不能將資安事件秘而不宣,關起門來自己處理。

這項年報修正的新要求,不只是讓企業資安作為更透明,也讓臺灣企業的資安災情資訊更透明了。

資安事件向來讓人覺得有一種負面形象的味道,這也讓企業不願意對外揭露太多,但是,當每一家上市公司都必須公開資安災情,誰的資安韌性更強,就成了更重要的事,如何在面對資安事件發生後,有一套快速復原的因應對策,現在更是企業非做不可的法遵重點。

有了資訊就能比較,有比較才會產生競爭,進而帶動臺灣企業各自的資安實力,最後可以促進全產業的資安韌性。這正是這一項法令修正最重要的價值。

 相關報導  企業主動揭露資安作為成法令強制要求,金管會明訂公司年報需記載

專欄作者


熱門新聞

Advertisement