核心系統遭駭 上市櫃要發重訊
金管會強化上市櫃公司資安措施
金管會多路強化上市櫃資通安全,5日宣佈重訂資安事件的「重大性」標準,一是公司核心系統遭到入侵,無法正常營運或提供服務,應即時發佈重訊;二是損失金額逾股本20%或3億元,則要召開記者會公佈。
在1,567家上市櫃公司已設資安長或資安主管後,金管會鼓勵公司加入臺灣電腦網路危機處理暨協調中心TWCERT,共同分享情資,進行「資安聯防」,已有722家加入,尚有845家未加入。
接着是由臺灣證券交易所及櫃買中心強化監理及輔導,首季將抽檢上市櫃公司資安內控情況,抽查比率由0.5%拉高到1%,預計有18家公司受檢。
金管會要求上市櫃公司發生重大資安事件時,要及時發佈重訊,損失達一定金額要召開重訊記者會,過往針對「重大性」是由企業自行判斷,今年增訂核心系統遭入侵無法運作或服務,即算重大資安事件,要重訊公告。
第一季針對上市櫃的資安主題式內控查覈,若過去有發生過資安事件,就有可能成爲查覈對象之一;第二季抽核家數再回到0.5%,並針對其他主題進行查覈。
金管會將持續推動上市櫃公司依風險等級分期加入TWCERT/CC共享資安情資,進行聯防,但排除上市櫃金融業,因另有專屬金融資安聯防機制,即金融資安資訊分享與分析中心。
截至去年底統計,第一級公司資本額爲100億元以上、臺灣50成份股,及透過電子商務提供服務的公司,共計101家公司已加入;第二級是第一級以外的公司,最近三年沒有連續虧損,且每股淨值不低於面額,共621家公司已加入,符合第一、二級標準的公司數共1,567家,有845家公司尚未加入。
金管會表示,現階段仍是採柔性鼓勵上市櫃公司加入TWCERT,但有發生過資安事件的公司都希望能加入,證交所另會根據監理需要,根據各公司有不同的監理作爲。