為強化資安管理,金管會公布「公開發行公司建立內部控制制度處理準則」修正草案,依照公司規模及財報表現明定 3 層級資安編制要求,111 家資本額達百億以上,或前一年底屬台灣 50 指數成分的上市櫃公司,須在明年底前設資安長及資安專責單位。此一法規近日已完成預告,將正式上路。
此一草案明定,為提升公開發行公司對資訊安全之重視,明定應配置適當人力資源及設備進行資訊安全制度之規劃、監控及執行資訊安全管理作業,其符合一定條件者,本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,並依公司規模及財報等條件區分 3 層級資安編制要求,設置資訊安全專責單位、主管及人員,以利進行差異化管理。
第一級包含資本額達新台幣 100 億元以上公司,以及前一年底屬台灣 50 指數成分公司;或者藉電子方式銷售商品、提供服務收入占最近年度營收達 80% 以上,或占最近二年度營收 50% 以上者,例如電子銷售平台、人力銀行等。
金管會表示,符合第一級條件的上市櫃公司共有 111 家,應在 2022 年底前設置資安長及「資安專責單位」;該單位必須包含資安專責主管及至少 2 名資安專責人員。
第二級為第一級以外的上市櫃公司,同時最近 3 年度稅前純益沒有連續虧損,且最近年度財報每股淨值未低於面額者。符合第二級條件的公司,應在 2023 年底前設置資安專責主管及至少 1 名資安專責人員。
至於第三級,則為為第一級以外的上市櫃公司,最近 3 年度稅前純益有連續虧損,或最近年度每股淨值低於面額。金管會對第三級沒有強制要求,不過仍鼓勵這些公司可設置至少 1 名資安專責人員。
金管會說明,考量大型或從事電子商務之上市櫃公司之資安防護日益受重視,本次法規修正規範上市櫃公司應配置適當資訊安全人力及設備,可逐步提升公司資安防護能力,此外證交所及櫃買中心亦有發布「上市上櫃公司資通安全管控指引」,以協助上市櫃公司完整規劃資訊安全人力配置及相關管控程序,進而降低公司發生重大資安事件對資本市場及社會大眾之影響。
(首圖來源:shutterstock)
