为强化资安管理,金管会公布“公开发行公司建立内部控制制度处理准则”修正草案,依照公司规模及财报表现明定 3 层级资安编制要求,111 家资本额达百亿以上,或前一年底属台湾 50 指数成分的上市柜公司,须在明年底前设资安长及资安专责单位。此一法规近日已完成预告,将正式上路。
此一草案明定,为提升公开发行公司对资讯安全之重视,明定应配置适当人力资源及设备进行资讯安全制度之规划、监控及执行资讯安全管理作业,其符合一定条件者,本会得命令指派综理资讯安全政策推动及资源调度事务之人兼任资讯安全长,并依公司规模及财报等条件区分 3 层级资安编制要求,设置资讯安全专责单位、主管及人员,以利进行差异化管理。
第一级包含资本额达新台币 100 亿元以上公司,以及前一年底属台湾 50 指数成分公司;或者藉电子方式销售商品、提供服务收入占最近年度营收达 80% 以上,或占最近二年度营收 50% 以上者,例如电子销售平台、人力银行等。
金管会表示,符合第一级条件的上市柜公司共有 111 家,应在 2022 年底前设置资安长及“资安专责单位”;该单位必须包含资安专责主管及至少 2 名资安专责人员。
第二级为第一级以外的上市柜公司,同时最近 3 年度税前纯益没有连续亏损,且最近年度财报每股净值未低于面额者。符合第二级条件的公司,应在 2023 年底前设置资安专责主管及至少 1 名资安专责人员。
至于第三级,则为为第一级以外的上市柜公司,最近 3 年度税前纯益有连续亏损,或最近年度每股净值低于面额。金管会对第三级没有强制要求,不过仍鼓励这些公司可设置至少 1 名资安专责人员。
金管会说明,考量大型或从事电子商务之上市柜公司之资安防护日益受重视,本次法规修正规范上市柜公司应配置适当资讯安全人力及设备,可逐步提升公司资安防护能力,此外证交所及柜买中心亦有发布“上市上柜公司资通安全管控指引”,以协助上市柜公司完整规划资讯安全人力配置及相关管控程序,进而降低公司发生重大资安事件对资本市场及社会大众之影响。
(首图来源:shutterstock)