上市櫃公司資安出包未即時發布重訊 金管會:最高將罰500萬元
鑒於華航、和泰iRent 資安問題出包,引發投資人關切,金管會已從資訊揭露、公司治理及監理協助三大面向採取下列措施,以推動強化公司資通安全管理。次一營業日開盤前2小時(早上7點前)即時公告,如果沒有即時公告,按照重訊通報罰責,處3萬到500萬元罰責。
上市櫃資安出包開盤前如未重訊 最高將罰500萬元。資料照
在資訊揭露層面,為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件影響。
在公司治理層面,金管會也依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司為3等級,分階段要求配置資訊安全人力資源,其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員;第二級公司1387家預計於112年底前完成設置資安專責主管及人員。另為積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
至於監理協助層面,金管會表示,透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入111年度公司治理評鑑指標加分項目。