上市櫃資安出包多 開盤前未發佈重訊者最高罰500萬

金管會證期局主秘黃厚銘。(圖/魏喬怡)

上市櫃公司華航、和泰車下的iRent近期都發生資安出包事件,金管會三路強化。金管會證期局主秘黃厚銘9日指出,要求各上市櫃公司三面向強化資安管理,並要求資安事件一旦造成公司重大損害或影響,公司在開盤前2個小時,即上午7點前要對外發布重大訊息,若違反將受處分3萬~500萬元。

黃厚銘指出,金管會、證交所及櫃買中心已修訂相關法規,要求上市櫃公司於發生重大資安事件時,應即時發佈重大訊息,像是iRent這種重大子公司,和泰車也要代爲公告。是否爲「重大資安事件」由公司來判斷,發佈時間要在次一營業日開盤前2小時(7點前)發佈,若違反沒有公告,就是違反了與證交所簽定的契約,可罰3萬到500萬元。

金管會強化資安管理兵分三路,一是資訊揭露層面:爲使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發佈重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。

二是公司治理層面:金管會依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司爲3等級,分階段要求配置資訊安全人力資源,其中第一級公司115家已於去年底完成設置資安長、資安專責主管及人員;第二級公司1,387家預計於今年底前完成設置資安專責主管及人員。另爲積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。

三、監理協助層面:金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入臺灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入去年度公司治理評鑑指標加分項目。