重大資安事件未即時公告最高可處 500 萬元 金管會推動強化公司資安管理措施

個人言論

重大資安事件未即時公告最高可處 500 萬元 金管會推動強化公司資安管理措施

金融監督管理委員會於日前宣布推動強化公司資通安全管理的措施，近期已從資訊揭露、公司治理及監理協助三大面向著手，要求上市（櫃）公司若發生重大資安事件時，應即時發布重大訊息，以利市場掌握公司有關資安事件的資訊，且應配置適當人力資源及設備負責資訊安全制度的規劃、監控及維護作業。

金管會表示，鑑於近期企業資安事件頻傳，為了使資本市場可獲得公司資安事件、暴險及因應措施等重要資訊，要求上市（櫃）公司於發生重大資安事件時，應即時發布重大訊息，若違反者，臺灣證券交易所股份有限公司得依臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序第１５條第１項規定，處以最高五百萬元的違約金。另外，也應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件的影響。

至於公司治理方面，金管會已作出金融監督管理委員會１１０年１２月２８日金管證審字第１１００３６５６５４４號函釋，依資本額規模、市值、業務性質及營運狀況等劃分上市（櫃）公司為三個等級，分階段要求配置資訊安全人力資源。同時，為了積極協助上市（櫃）公司完善資通安全防護及管理機制，證交所及櫃買中心已訂定相關規範供公司參考，例如證券期貨市場相關公會新興科技資通安全管控指引第６條規定，對於雲端客戶資料應採行加密或代碼化等有效保護措施，並訂定加密金鑰機制，以安全有效的管理客戶個資。

金管會最後說明，在監理協助層面，目前是透過鼓勵方式，推動上市（櫃）公司依風險等級分期加入台灣電腦網路危機處理暨協調中心，共享資安情資，且公司導入資訊安全管理系統標準或取得其他第三方驗證的標準並已納入一百十一年度公司治理評鑑指標加分項目，以加強公司資通安全的管理。

來源：法源法律網