News

LEADING BRAND IN SECURITY ASSESSMENT - ONWARD

上市櫃公司資通安全管控指引發布 產業該如何因應?

2022 / 03 / 14

因應駭客攻擊與資安事件影響政府機關與關鍵基礎設施運作,政府已於108年1月1日正式施行資通安全管理法、施行細則及相關辦法,以確保公務機關、關鍵基礎設施提供者、公營事業及政府捐助之財團法人,從組織政策與管理面、技術面及認知訓練三大面向,強化資安防護能量與資安事件應變通報。但自2020年起,國內上市櫃公司爆發多起重大資安事件,包括GPS大廠與石化能源公司遭勒索軟體攻擊、電子業大廠系統遭病毒感染,以及工控大廠遭駭客攻擊。為避免網路攻擊造成市場重大影響,及配合金融監督管理委員會強化上市公司資通安全管理政策,臺灣證券交易所於110年12月23日發布「上市上櫃公司資通安全管控指引」,要求上市櫃公司應配置適當人力資源及設備,進行資通安全制度之規劃、監控及執行資通安全管理作業。

 

上市櫃公司資通安全管控指引緣由

透過本次證交所發布的「上市上櫃公司資通安全管控指引」,能協助上市、上櫃公司強化資通安全防護及管理機制,並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業。本指引條文共包涵政策與管理面、技術面及認知訓練面等37條重點概要,企業可依其產業特性、規模大小及資安風險適度採行。

 

上市上櫃公司資通安全管控指引

上市上櫃公司資通安全管控指引

一、上市櫃公司資通安全管控指引--政策面與管理面

為符合本指引要求,公司需先成立資訊安全推動組織並設置適當人力擔任資安專責主管與人員,負責推動、協調監督及審查資通安全管理事項。根據110年12月28日修正的「公開發行公司建立內部控制制度處理準則」第9-1條,金管會將上市櫃公司依其收入規模分成三級,以循序漸進方式推動辦理,其實施範圍與時程如下:

分級 分級標準 資安單位暨人力編制 實施時程
第一級 符合下列條件之一者:
1. 資本額100億元以上
2. 前一年底屬臺灣50指數成分公司
3. 藉電子方式媒介商品所有權移轉或提供服務(如電子銷售平台、人力銀行等)收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者
應設資安長及設置資安專責單位(包含資安專責主管及至少2名資安專責人員) 111年底設置完成
第二級 第一級以外之上市(櫃)公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。 資安專責主管及至少1名資安專責人員 112年底設置完成
第三級 第一級以外上市(櫃)公司,最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額。 至少1名資安專責人員 鼓勵設置

資安專責主管與人員主要任務為建立業務持續營運計畫、盤點資通系統及辦理資安風險評估作業,建立並執行相對應的管理制度與技術防護,以確保資訊安全事件不會造成公司核心業務無法正常運作,造成營運受到影響。資安團隊需建立資安事件應變處理與通報作業程序,及加入資安情資分享組織,可在第一時間取得相關情資並採取相對應的處理作法,並且依主管機關相關規定處理重大資安事件。為確保管理制度之適切性與有效性,資安團隊需定期辦理內部與委外廠商資安稽核,定期追蹤發現事項之改善情形,並向董事會或管理階層報告執行情況。

二、上市櫃公司資通安全管控指引--技術面

針對公司整體網路環境,資安團隊需依功能區隔獨立網段,並搭配防毒軟體、防火牆及入侵偵測系統等資安防護控制措施,以保護機敏資料及監控網路與系統安全性。若公司自行開發與維護核心資通系統,在初期的需求規格制定與規劃階段,必須納入機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾等資安要求,並且在系統上線前執行原始碼掃描與定期辦理資通系統安全性要求測試、弱點掃描及滲透測試,確保能有效控管組織中的資安風險,建構完備的資通環境,強化資通安全防護及管理機制。相關資訊系統或資訊服務若是委外辦理時,公司應建立資訊作業委外安全管理程序,以確保委外廠商執行委外作業時,具備完善之資通安全管理措施。此外,公司應於採購文件內載明服務水準協議(SLA)、資安要求及對委外廠商資安稽核權,並要求委外廠商在委外關係終止或解除時,返還、移交、刪除或銷毀履行契約而持有之資料。

三、上市櫃公司資通安全管控指引--認知訓練面

公司可透過實體或線上課程方式,每年為所有使用資訊系統之人員辦理資訊安全宣導課程;針對負責資訊安全之主管及人員,公司每年需安排資訊安全專業課程訓練。此外,公司亦需每年辦理電子郵件社交工程演練,透過演練結果可用於檢視資訊安全意識訓練課程成效,避免組織內部員工因缺乏相關資安意識,使得駭客可透過釣魚郵件或是社交工程方式取得使用者電腦控制權限,進而造成組織營運或機敏資料外洩。

 

現行上市櫃公司推動資安阻力與困難點

現行許多上市櫃公司雖有執行相關資訊安全治理,但考量到預算、成本及人力配置等問題,仍會先以有限度的框定組織認證資訊安全管理之範圍進行資安治理,而不是適用於全組織。依照過往經驗,一但與企業談到資訊安全管理,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體及入侵偵測系統等,希望藉由資訊安全軟硬體設備來強化資通安全。然而,僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,也必須考量到人員與作業流程,即須從組織的政策面、管理面及執行面全面執行。因此,確保組織資訊安全的最佳方式是從管理層面來著手,取得高階管理階層支持,依循國際資安標準ISO 27001建立一套完整的資訊安全管理系統(Information Security Management Systems,ISMS)。

本指引所要求之資通安全管理機制亦涵蓋於ISO 27001資訊安全管理系統,公司可尋求外部專業資安服務資源,透過吸取資安顧問知識與實務經驗加速導入時程、降低資安團隊的人力負擔,並有效控管組織中的資安風險。外部顧問團隊可協助公司建立完整的資安管理系統制度文件,包含資安政策、資安程序、作業要求及表單,協助企業建立資安推動小組、了解相關資安要求、辦理資安訓練、建立資安防護控制措拖。藉由專業資安顧問提供組織資安建議與專業輔導諮詢,以符合相關法令或規範指引之資安需求。組織未知的風險難以評估,內部可能也存在著許多盲點,亦可委由資安顧問定期檢視組織內資安成熟度評估與每年進行改善。

安華聯網解決資通訊安全合規問題

安華聯網解決資通訊安全合規問題

 

安華聯網建議應考量組織整體風險、系統性的分析和解決資訊安全議題,故企業選擇能幫助組織提升客戶、業務夥伴、投資人信心,及提高組織的企業形象和競爭力的顧問公司是很重要的考量點之一。安華聯網ISO 27001導入實務經驗豐富,具備ISO27001、ISO27701及ISO22301證照,透過顧問現場深度訪談,協助公司從政策面、管理面、執行面及技術面了解現行制度與國際資安要求的差異,提供完整改善建議並協助建置政策面與管理面制度,協助上市櫃公司建立一套完整的資訊安全管理系統,再加上公正第三方驗證,協助企業取得國際資安標準認證。

安華聯網也提供多樣化的資安檢測服務,並取得多個國際組織認可,包括CREST、Amazon、CTIA及ioXt。在協助企業導入ISO27001的過程,可搭配弱點掃描、滲透測試、原始碼掃描、社交工程演練、教育訓練及資安健診,提供長期且專業資安檢測與諮詢服務。

2022年資訊安全已經走向法律遵循的時代,專業的資訊安全輔導、諮詢、訓練及檢測服務,能進一步幫助企業提升資安能量,滿足主管機關的資安法令要求。

 

媒體報導

參考資料

  • 證交所發布「上市上櫃公司資通安全管控指引」  https://www.twse.com.tw/zh/news/newsDetail/ff8080817d22b9cb017de6c1f04902ec
  • 經濟部標準檢驗局103年4月24日公告CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」國家標準  https://www.moea.gov.tw/MNS/populace/Apply/Apply.aspx?menu_id=32814&apply_id=194
  • 全國法規資料庫-資通安全管理法  https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297