111家百億上市櫃 明年底前須設資安長
(金管會證期局副局長郭佳君。圖/視訊截圖)
繼要求金融業要設資安長之後,爲強化上市櫃公司的資訊安全管理機制,金管會再修法。金管會證期局副局長郭佳君25日指出,大型上市櫃公司資安特別重要,所以將要求大型上市櫃要適當配置資安人力、提升資安防護力,將分三級來要求,第一級是「資本額百億元以上、屬臺灣50指數成份股、電商公司」,在2022年底前要設置完成「資安長」及「資安專責單位」,共有111家公司須設立,現已逾四成公司已設有資安長。
爲提升公開發行公司對資訊安全的重視,金管會研擬修正「公開發行公司建立內部控制制度處理準則」第九條之一及第四十七條,明定應配置適當人力資源及設備進行資訊安全制度之規劃、監控及執行資訊安全管理作業,符合一定條件者,金管會得命令指派綜理資訊安全政策推動及資源調度事務的人兼任資訊安全長,並設置資訊安全專責單位、主管及人員,以利進行差異化管理。
郭佳君指出,第一級上市櫃公司2022年底前要設置完成資安長及設置資安專責單位(包含資安專責主管及至少2名資安專責人員),該級公司有三種:資本額100億元以上、藉電子方式媒介商品所有權移轉或提供服務(如電子銷售平臺、人力銀行等)收入佔最近年度營業收入達80%以上,或佔最近二年度營業收入達50%以上者,證期局統計,共有111家、已設資安長的有49家、設有資安主管的83家、設有資安人員的87家。
第二級公司則是第一級以外之上市(櫃)公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。2023年底前要設置完成資安專責主管及至少1名資安專責人員。據證期局統計,共有1321家,皆未設資安長,但630家設有資安主管、813家設有資安人員。
第三級公司則是第一級以外上市(櫃)公司,最近三年度稅前純益有連續虧損,或最近年度每股淨值低於面額。郭佳君指出,這類公司不強制要求,採鼓勵設置至少1名資安專責人員,據統計共有266家,其中,132家設有資安人員,皆未設資安長、主管。
郭佳君表示,今年九月就已宣佈,宣佈2022年首季前,符合一定條件的證券商、期貨、投信投顧與銀行業需設立「副總級」以上資安長,未設者需在六個月時間內完成增補。考量大型或從事電子商務之上市(櫃)公司的資安防護日益受重視,本次法規修正規範上市(櫃)公司應配置適當資訊安全人力及設備,可逐步提升公司資安防護能力,進而降低公司發生重大資安事件對資本市場及社會大衆之影響。