我见我思－企业资安管理重中之重

科技进步伴随相关营运风险增加的同时，资安管理成为重中之重。图／摘自Unsplash

随着远端工作、异地办公之工作新型态的普及，加上行动支付、云端计算等技术革新，人类生活与企业营运愈发仰赖网路，但接踵而至的是资讯安全相关的违法事件与相关风险。安侯建业会计师事务所（KPMG）于今年1月发布「2023年全球与台湾CEO观点及趋势摘要」，阐明台湾CEO认为影响企业之前五大风险，第一是「企业营运风险」，其次「监管法规风险」与「新兴/颠覆性科技风险」并列第二，「数位网路安全」、「供应链风险」及「利率风险」等。

■新兴/颠覆性科技风险、网路安全，考验企业营运

前述风险在讲究内部控制与流程的企业营运中，可看出在科技进步伴随相关营运风险增加的同时，资安管理成为重中之重。

为提升公开发行公司对资安之重视， 2021年12月我国金融监督管理委员会（下称金管会）于新版「公开发行公司建立内部控制制度处理准则」新增第9条之1，规范企业必须配置适当人力资源与设备，进行资安制度之规划、监控及执行资安管理作业。另外，若符合一定条件者，即有关公开发行公司应指派资讯安全长及设置资讯安全专责单位之一定条件，授权主管机关另定之外，金管会得命令指派综理资安政策推动及资源调度事务之人兼任资讯安全长，及设置资讯安全专责单位、主管及人员。

赓续强化企业资通安全机制，金管会于2023年3月以「资讯揭露」、「公司治理」及「监理协助」等三大面向积极推动资安管理措施。其中，「资讯揭露」着重企业若发生重大资安事件须及时发布重讯，并于年报及公开说明书叙明资通安全管理政策与方案、投入资源、资安风险影响程度等，及所遭受重大资通安全事件之影响；「公司治理」则为金管会依资本额规模、市值、业务性质及营运状况等将上市柜公司划分为3等级，并分阶段要求企业配置资安人力资源，且证交所与柜买中心订定资通安全管控指引，以提供企业完善资安防护措施及管理机制；至于「监理角度」，金管会鼓励企业依风险等级加入台湾电脑网路危机处理暨协调中心（TWCERT）共享资讯安全情资，并鼓励企业导入ISO 27001、CNS 27001等资讯安全管理系统标准，或取得第三方验证标准。有关导入资讯安全管理系统标准，亦纳入公司治理评鉴指标加分题项，期导引资通安全管理于公司治理文化。

因应网路安全与风险管理之议题，美国证券管理委员会于2023年7月通过上市公司实施网路安全事件与风险监督流程揭露义务之新规则，包括于Form 8-K重大讯息报告中，当重大网路安全事件发生后四个工作日内，须揭露相关重大资讯，并于同年12月18日起实施。

■国内外强化管理规范 助企业控管资安

另外，SEC也要求企业于Form 10-K年度报告须揭露网路安全流程和监督等内容，包含「评估、识别及管理网路安全威胁风险的企业流程」、「已对企业产生重大影响，或可能产生重大影响之网路安全威胁风险」、「董事会对网路安全之监督，及负责监督之小组组织」，与「管理阶层评估或管理网路安全威胁之功用，包括管理阶层的职级及相关专业知识之描述」。

综上，不论国内外，资讯安全相关重大事件之事前风险评估、事发因应措施，及事后之重讯揭露，俨然成为政策推动的核心。如此不仅能提升企业资安意识，亦可强化外部投资人对企业之信心，使得利害关系人受有保障。

借镜国际趋势及我国政策之推动，企业营运不可忽视资讯安全管理，甚至资讯安全必须成为公司治理着重面向之一，让资安管理恪守最后一道防线，使企业若不幸曝险于资安危机时，仍具有相当韧性与因应措施可应对，进而提升投资人信心。