金管會修正規定,符合一定條件者,依三類別分級標準,應分別設置資安長、資安專責單位或資安專責人員等。(記者王孟倫攝)
〔記者王孟倫/台北報導〕為強化國內資安保護網,金管會表示,考量大型或從事電子商務之上市櫃公司之資安防護重要性,因此,修正相關規定,符合一定條件者,依三類別分級標準,應分別設置資安長、資安專責單位或資安專責人員等,藉此,降低公司發生重大資安事件對資本市場及社會大眾之影響。
為強化公開發行公司資訊安全管理機制,金管會證期局研擬修正「公開發行公司建立內部控制制度處理準則」第九條之一及第四十七條,明定應配置適當人力資源及設備進行資訊安全制度之規劃、監控及執行資訊安全管理作業。
這項修正是依照公司規模及營運狀況,分成一、二及三級,符合一定條件者,應指派綜理資訊安全政策推動及資源調度事務之人兼任資安長,並設置資訊安全專責單位、主管及人員,以利進行差異化管理。
首先,「第一級」是符合下列三條件之一者,包括:「資本額100億元以上」、「前一年底屬臺灣50指數成分公司」或「藉電子方式媒介商品所有權移轉或提供服務(如電子銷售平台、人力銀行等),其收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者。
根據金管會規劃,若屬於第一級公司應設「資安長」及設置「資安專責單位」(包含資安專責主管及至少2名資安專責人員),並於 2022 年底設置完成。目前符合第一級公司有111家。
而「第二級」的條件標準為第一級以外的上市櫃公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。
依規定,符合第二級的公司應設立資安專責主管及至少 1 名資安專責人員,並於2023年底設置完成。目前第二級的公司有1,321家。
至於「第三級」公司的標準是第一級以外的上市櫃公司,最近3年度有連續虧損,或最近年度每股淨值低於面額,依規定,至少1名資安專責人員,此部分是採取鼓勵設置,沒有實施時程表。目前符合第三級公司有266家。
證期局強調,本次法規修正規範上市櫃公司應配置適當資訊安全人力及設備,預期可逐步提升公司資安防護能力,降低公司發生重大資安事件對資本市場之影響。