金管會證期局表示，在11月30日，發布修正「公開發行公司年報應行記載事項準則」，對象包含所有上市、上櫃、興櫃與公開發行公司，而在資安管理面，有下列三個重點：

首先，就是明訂資安管理的資訊公開，讓投資人能有判斷。

第二，需揭露重大資安事件的損失與影響，並要說明遇到事件時，公司是如何因應。

第三，需揭露資通安全風險對公司財務業務的影響與因應措施。

由上述三點來看，這意味著，公司從明年開始編製的年報，也就是從2021年（110年）公司年報起，將需載明上述資安管理作為。

在新版準則中，第十八條營運概況記載事項中，增訂第六款（原第六款移為第七款），就是主要對資安資通安全的要求。

該條款明訂：公司要敘述說明包括資通安全風險管理架構、資通安全政策與具體管理方案，以及投入資通安全管理的資源。而這裡的資源，包括人力、作為與預算，例如投入人員總數、相關會議召開次數，或是投保情形等。

同時，為落實公司對資通安全的風險揭露，公司需揭露重大資通安全事件所遭受的損失、可能影響及因應措施。同時，企業須舉例說明影響可包含營運或商譽的層面，而對於無法估計的狀況，也要明確說明無法合理估計的事實。而在第二十條中，也明訂公司應揭露資安風險對財物的影響與因應措施。

關於11月30日所發布的新版「公開發行公司年報應行記載事項準則」，資通安全管理的重點在第十八條營運概況記載事項中所增訂的第六款，明確要求公司年報必須揭露資安管理政策與風險管理架構，以及投入的資源，同時必須說明資安事件的因應，另在第二十條中，也要求需揭露資通安全風險對公司財務業務的影響與因應措施。

在這樣的法令之下，勢必促進更多企業積極建立資安治理基礎。過去，已有一些企業展現對資安的重視，例如，主動在網站上公布資安政策、組織架構與目標，或是在年報中的其他重要風險管理因應面向，提及相關作為。事實上，早在前兩年，證交所於新版公司治理評鑑指標也納入資安項目，現在，法規更是明訂企業須在年報公開揭露這方面的資訊，此舉將促使所有國內上市櫃公司的資安作法，變得更透明，而這些上市櫃公司所揭露的資訊，也將成為各產業其他企業的借鏡與參考。

資料來源：iThome

想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊