上市柜资安出包多 开盘前未发布重讯者最高罚500万
金管会证期局主秘黄厚铭。(图/魏乔怡)
上市柜公司华航、和泰车下的iRent近期都发生资安出包事件,金管会三路强化。金管会证期局主秘黄厚铭9日指出,要求各上市柜公司三面向强化资安管理,并要求资安事件一旦造成公司重大损害或影响,公司在开盘前2个小时,即上午7点前要对外发布重大讯息,若违反将受处分3万~500万元。
黄厚铭指出,金管会、证交所及柜买中心已修订相关法规,要求上市柜公司于发生重大资安事件时,应即时发布重大讯息,像是iRent这种重大子公司,和泰车也要代为公告。是否为「重大资安事件」由公司来判断,发布时间要在次一营业日开盘前2小时(7点前)发布,若违反没有公告,就是违反了与证交所签定的契约,可罚3万到500万元。
金管会强化资安管理兵分三路,一是资讯揭露层面:为使资本市场可获公司资安事件、暴险及因应措施等重要资讯,金管会、证交所及柜买中心已修订相关法规,要求上市(柜)公司于发生重大资安事件时,应即时发布重大讯息,另亦应于年报及公开说明书中叙明资通安全管理政策及方案、投入资源、资安风险影响程度与因应及所遭受重大资通安全事件之影响。
二是公司治理层面:金管会依资本额规模、市值、业务性质及营运状况等划分上市(柜)公司为3等级,分阶段要求配置资讯安全人力资源,其中第一级公司115家已于去年底完成设置资安长、资安专责主管及人员;第二级公司1,387家预计于今年底前完成设置资安专责主管及人员。另为积极协助上市(柜)公司完善资通安全防护及管理机制,证交所及柜买中心并已订定资通安全管控指引供公司参考。
三、监理协助层面:金管会透过鼓励方式推动上市(柜)公司依风险等级分期加入台湾电脑网路危机处理暨协调中心(TWCERT)共享资安情资;此外公司导入ISO 27001、CNS 27001等资讯安全管理系统标准或取得其他第三方验证之标准并已纳入去年度公司治理评鉴指标加分项目。