上市柜公司资通安全管控指引发布 产业该如何应对？

由于黑客攻击与网络安全事件影响政府机关与关键基础设施运作，台湾政府已于2019年1月1日正式施行资通安全管理法、施行细则及相关办法，以确保公务机关、关键基础设施提供者、公营事业及政府捐助的财团法人，从组织政策与管理面、技术面及认知训练三大面向，强化网络安全防护能量与网络安全事件应变通报。但自2020年起，台湾上市柜公司爆发多起重大网络安全事件，包括GPS大厂与石化能源公司遭勒索软件攻击、电子业大厂系统遭病毒感染，以及工控大厂遭黑客攻击。为避免网络攻击造成市场重大影响，及配合金融监督管理委员会强化上市公司资通安全管理政策，台湾证券交易所于110年12月23日发布「上市上柜公司资通安全管控指引」，要求上市柜公司应配置适当人力资源及设备，进行资通安全制度的规划、监控及执行资通安全管理作业。

为符合本指引要求，公司需先成立网络安全推动组织并设置适当人力担任网络安全专责主管与人员，负责推动、协调监督及审查资通安全管理事项。根据2021年12月28日修正的「公开发行公司建立内部控制制度处理准则」第9-1条，金管会将上市柜公司依其收入规模分成三级，以循序渐进方式推动办理，其实施范围与时程如下：
 

分级	分级标准	网络安全单位暨人力编制	实施时程
第一级	符合下列条件之一者： 1. 资本额100亿元以上 2. 前一年底属台湾50指数成分公司 3. 藉电子方式媒介商品所有权移转或提供服务（如电子销售平台、人力银行等）收入占最近年度营业收入达80%以上，或占最近二年度营业收入达50%以上者	应设资安长及设置网络安全专责单位（包含网络安全专责主管及至少2名网络安全专责人员）	2022年底设置完成
第二级	第一级以外之上市（柜）公司，最近三年度之税前纯益未有连续亏损，且最近年度财务报告每股净值未低于面额者。	网络安全专责主管及至少1名网络安全专责人员	2023年底设置完成
第三级	第一级以外上市（柜）公司，最近3年度税前纯益有连续亏损，或最近年度每股净值低于面额。	至少1名资安专责人员	建议设置

网络安全专责主管与人员主要任务为建立业务持续营运计划、盘点资通系统及办理网络安全风险评估作业，建立并执行相对应的管理制度与技术防护，以确保网络安全事件不会造成公司核心业务无法正常运作，造成营运受到影响。网络安全团队需建立网络安全事件应变处理与通报作业程序，及加入网络安全资讯分享组织，可在第一时间取得相关信息并采取相对应的处理作法，并且依主管机关相关规定处理重大网络安全事件。为确保管理制度的适应性与有效性，网络安全团队需定期举办内部与委外厂商网络安全稽核，定期追踪发现事项的改善情况，并向董事会或管理阶层报告执行情况。
 

二、上市柜公司资通安全管控指引--技术面

针对公司整体网络环境，网络安全团队需根据功能区隔独立网段，并搭配防毒软件、防火墙及入侵侦测系统等网络安全防护控制措施，以保护机密资料及监控网络与系统安全性。若公司自行开发与维护核心资通系统，在初期的需求规格制定与规划阶段，必须纳入机密资料存取控制、用户登入身分验证及用户输入输出的检查过滤等网络安全要求，并且在系统上线前执行源码扫描与定期进行资通系统安全性要求测试、漏洞扫描及渗透测试，确保能有效控管组织中的网络安全风险，建构完备的资通环境，强化资通安全防护及管理机制。相关信息系统或信息服务若是委外办理时，公司应建立信息作业委外安全管理程序，以确保委外厂商执行委外作业时，具备完善的资通安全管理措施。此外，公司应于采购文件内载明服务水平协议(SLA)、网络安全要求及对委外厂商网络安全稽核权，并要求委外厂商在委外关系终止或解除时，返还、移交、删除或销毁履行契约而持有的资料。
 

三、上市柜公司资通安全管控指引--认知训练面

公司可透过线下或线上课程方式，每年为所有使用信息系统的人员举办网络安全倡导课程；针对负责网络安全的主管及人员，公司每年需安排网络安全专业课程培训。此外，公司亦需每年办理电子邮件社交工程演练，透过演练结果可用于检视网络安全意识训练课程成效，避免组织内部员工因缺乏相关网络安全意识，使得黑客可透过钓鱼邮件或是社交工程方式取得使用者计算机控制权限，进而造成组织营运或机密资料外泄。
 

现行上市柜公司推动网络安全阻力与困难点

现行许多上市柜公司虽有执行相关网络安全治理，但考虑到预算、成本及人力配置等问题，仍会先以有限度的框定组织认证网络安全管理的范围进行网络安全治理，而不是适用于全组织。根据过往经验，一但与企业谈到网络安全管理，主要都是着重在技术面的网络安全基础建设，例如建置网络防火墙、防毒软件及入侵侦测系统等，希望藉由网络安全软硬件设备来强化资通安全。然而，仅做好网络安全防护，并无法有效地解决各种网络安全问题的发生，也必须考量到人员与作业流程，即须从组织的政策面、管理面及执行面全面执行。因此，确保组织网络安全的最佳方式是从管理层面来着手，取得高阶管理阶层支持，依循国际网络安全标准ISO 27001建立一套完整的网络安全管理系统（Information Security Management Systems，ISMS）。

本指引所要求的资通安全管理机制亦涵盖于ISO 27001网络安全管理系统，公司可寻求外部专业网络安全服务资源，透过吸取网络安全顾问知识与实务经验加速导入时程、降低网络安全团队的人力负担，并有效控管组织中的网络安全风险。外部顾问团队可协助公司建立完整的网络安全管理系统制度文件，包含网络安全政策、网络安全程序、作业要求及表单，协助企业建立网络安全推动小组、了解相关网络安全要求、办理网络安全训练、建立网络安全防护控制措拖。藉由专业网络安全顾问提供组织网络安全建议与专业辅导咨询，以符合相关法令或规范指引的网络安全需求。组织未知的风险难以评估，内部可能也存在着许多盲点，亦可委托网络安全顾问定期检视组织内网络安全成熟度评估与每年进行改善。

仲至信息建议应考虑组织整体风险、系统性的分析和解决网络安全议题，故企业选择能帮助组织提升客户、业务伙伴、投资人信心，及提高组织的企业形象和竞争力的顾问公司是很重要的考量点之一。仲至信息ISO 27001导入实务经验丰富，具备ISO27001、ISO27701及ISO22301证照，透过顾问现场深度访谈，协助公司从政策面、管理面、执行面及技术面了解现行制度与国际资安要求的差异，提供完整改善建议并协助建置政策面与管理面制度，协助上市柜公司建立一套完整的网络安全管理系统，再加上公正第三方验证，协助企业取得国际网络安全标准认证。

仲至信息也提供多样化的网络安全检测服务，并取得多个国际组织认可，包括CREST、Amazon、CTIA及ioXt。在协助企业导入ISO27001的过程，可搭配漏洞扫描、渗透测试、源码扫描、社交工程演练、教育培训及网络安全健诊，提供长期且专业网络安全检测与咨询服务。

2022年资讯安全已经走向法律遵循的时代，专业的网络安全辅导、咨询、培训及检测服务，能进一步帮助企业提升网络安全能量，满足主管机关的网络安全法规要求。