近年資安事件頻傳,2023年資安事件重大訊息更多達23起,中小企業也屢遭網路攻擊,顯示出台灣社會所面臨的資安越發嚴重,而證交所從3年前開始針對資訊安全相關問題進行重大訊息處理程序的修訂改善,除了讓投資人了解經營狀況,也使民眾更了解資安風險。
金管會明確規範資安事件的「重大性」標準
金管會為提高企業對於資安的重視,強化上市櫃公司資訊安全管理機制,金管會已從資訊揭露、公司治理及監理協助三大面向採取下列措施,以推動強化公司資通安全管理:
一、資訊揭露層面:
為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。
即在「重大訊息處理程序」補充說明,對於外界對重大訊息處理程序法規的疑問提供詳解,證交所在2024年3月更新的「上市公司重大訊息發布應注意事項參考問答集」新增發生資通安全事件時,應如何發布重大訊息的判斷依據,如【公司發生本款事件,依前開評估範圍估算之結果,或媒體報導公司發生本款事件,可能影響投資人之投資決策時,或公司之核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資外洩之情事,即屬造成公司重大損害或影響,請以專用格式發布重大訊息。】
針對特定項目認定應納入本款發布重大訊息之情事舉例如下:
【公司之核心資通系統、官方網站或機密文件檔案資料等,遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等,致無法營運或正常提供服務,或有個資外洩之情事等。】
由上可知,上市櫃公司一旦遭遇資安事件判斷是否發布重大訊息,有更明確的規範內容,方便企業遵循。
其他資訊請參考「上(興)櫃公司重大訊息發布應注意事項參考問答集」
二、公司治理層面:
金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司為3等級,分階段要求配置資訊安全人力資源(圖1),其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員;第二級公司1387家預計於112年底前完成設置資安專責主管及人員。另為積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
圖1 資安人力資源配置要求,資料來源:證交所
三、監理協助層面:
金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入111年度公司治理評鑑指標加分項目。
資安重大訊息揭露規範現況
近年來各家企業越來越注重資安事件,而重大訊息揭露資安事件的相關規範,是從2021年4月開始實施,雖然有看到部分上市櫃公司依照規範發布重大訊息,但部份的上市櫃公司仍不知道重大資安事件需要公告重大訊息,此外重大安事件損失達到金額3億元或股本的20%,應召開重訊記者會進行對外說明。
在2022年的年報開始,除了記載資安行動,同時也需要揭露重大資安事件的損失與影響,並說明公司如何應對。
金管會持續宣導下列事項,提醒上市櫃公司都要謹記與遵循:
(一)重大資安事件的發布時間,要在次一營業日開盤前2小時(7點前)發布
(二)違反重訊發布規定,可處違約金3萬~500萬元
(三)旗下子公司發生重大資安事件,母公司也需要替子公司進行公告。
近年資安事故狀況
相較於2021與2022年,2023年的資安事故明顯增加,且其中小企業也明顯變多,同時產業相當廣泛,包含藥局、汽車、自行車、觀光、化學、塑膠、生技等。
處理許多企業資安事故的資安業者趨勢科技,提出他們的看法,近年的網路攻擊,多為勒索軟體攻擊,並且處於轉變時期,以2021年的攻擊而言,通常都是大型駭客集團發起,其攻擊目標也多是相當知名的企業,使用的手法通常比較精進,也會要求很高的贖金。在2023年,網路攻擊事件的數量不僅明顯再度增加,且已經恢復到2021年的水準,甚至還有所超越,最主要的原因也是RaaS型態下,使得攻擊變得普及且易於實施,也導致發起攻擊的團體變多。如今的狀況多是中小型企業遇害,與兩年前多事大型企業遭攻擊的狀況不同。
因為中小企業的資安處理能力,與大型企業相比,有一定的落差,而且勒索攻擊的型態並不全然是加密勒索,因為「偷資料的勒索」也逐漸成為常態,有些甚至是鎖定重要個資竊取的勒索。
以現階段資安事故的狀態勢必會延續到2024,今年1.2月份已有9起的資安是件重大訊息,相較於過往明顯增加。
資訊出處:【2023年有23起資安事件重大訊息】上市櫃公司屢遭網路攻擊,中小企業災情大增
結論
台灣社會面臨的資安挑戰日益嚴重,政府對於此表現出高度的重視,從金管會針對上市櫃公司的資訊安全進行一系列的規範與措施,以此提高企業對資安重視程度,此外中小企逐漸成為攻擊目標的狀況來說,所有企業的資安管理需要不斷的強化與完善。
金管會的規範與措施對提升上市櫃公司的資安管理有一定作用,企業應積極遵循相關規定,加強資安防護,並可導入第三方認證機構的支援,如ISO 27001,來建立可靠的資訊安全管理系統,以應對日益嚴峻的資安挑戰,這些措施將有助於為資安防護奠定基礎,保障企業和民眾的資訊安全。
競爭力企管擁有ISO認證輔導的豐富經驗,以及專文詳細說明ISO標準、企業管理與時事新知等文章分享,讓經驗豐富的專業顧問師一對一線上諮詢為您服務,無論是ISO標準認證、ESG企業永續報告書相關問題、企業管理與教育訓練課程,都歡迎您預約服務!
參考資料:金管會、證交所、iThome、聯合新聞
相關文章:
ISO 27001:2022資訊安全管理系統
什麼是ISMS?
ISO 27001資訊安全管理系統輔導
|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|填寫表單:點此連結
|LINE 線上諮詢:@why4800g
近年資安事件頻傳,2023年資安事件重大訊息更多達23起,中小企業也屢遭網路攻擊,顯示出台灣社會所面臨的資安越發嚴重,而證交所從3年前開始針對資訊安全相關問題進行重大訊息處理程序的修訂改善,除了讓投資人了解經營狀況,也使民眾更了解資安風險。
金管會明確規範資安事件的「重大性」標準
金管會為提高企業對於資安的重視,強化上市櫃公司資訊安全管理機制,金管會已從資訊揭露、公司治理及監理協助三大面向採取下列措施,以推動強化公司資通安全管理:
一、資訊揭露層面:
為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊,金管會、證交所及櫃買中心已修訂相關法規,要求上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息,另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。
即在「重大訊息處理程序」補充說明,對於外界對重大訊息處理程序法規的疑問提供詳解,證交所在2024年3月更新的「上市公司重大訊息發布應注意事項參考問答集」新增發生資通安全事件時,應如何發布重大訊息的判斷依據,如【公司發生本款事件,依前開評估範圍估算之結果,或媒體報導公司發生本款事件,可能影響投資人之投資決策時,或公司之核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵,致無法營運或正常提供服務,或有個資外洩之情事,即屬造成公司重大損害或影響,請以專用格式發布重大訊息。】
針對特定項目認定應納入本款發布重大訊息之情事舉例如下:
【公司之核心資通系統、官方網站或機密文件檔案資料等,遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等,致無法營運或正常提供服務,或有個資外洩之情事等。】
由上可知,上市櫃公司一旦遭遇資安事件判斷是否發布重大訊息,有更明確的規範內容,方便企業遵循。
其他資訊請參考「上(興)櫃公司重大訊息發布應注意事項參考問答集」
二、公司治理層面:
金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市(櫃)公司為3等級,分階段要求配置資訊安全人力資源(圖1),其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員;第二級公司1387家預計於112年底前完成設置資安專責主管及人員。另為積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。
圖1 資安人力資源配置要求,資料來源:證交所
三、監理協助層面:
金管會透過鼓勵方式推動上市(櫃)公司依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT)共享資安情資;此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入111年度公司治理評鑑指標加分項目。
資安重大訊息揭露規範現況
近年來各家企業越來越注重資安事件,而重大訊息揭露資安事件的相關規範,是從2021年4月開始實施,雖然有看到部分上市櫃公司依照規範發布重大訊息,但部份的上市櫃公司仍不知道重大資安事件需要公告重大訊息,此外重大安事件損失達到金額3億元或股本的20%,應召開重訊記者會進行對外說明。
在2022年的年報開始,除了記載資安行動,同時也需要揭露重大資安事件的損失與影響,並說明公司如何應對。
金管會持續宣導下列事項,提醒上市櫃公司都要謹記與遵循:
(一)重大資安事件的發布時間,要在次一營業日開盤前2小時(7點前)發布
(二)違反重訊發布規定,可處違約金3萬~500萬元
(三)旗下子公司發生重大資安事件,母公司也需要替子公司進行公告。
近年資安事故狀況
相較於2021與2022年,2023年的資安事故明顯增加,且其中小企業也明顯變多,同時產業相當廣泛,包含藥局、汽車、自行車、觀光、化學、塑膠、生技等。
處理許多企業資安事故的資安業者趨勢科技,提出他們的看法,近年的網路攻擊,多為勒索軟體攻擊,並且處於轉變時期,以2021年的攻擊而言,通常都是大型駭客集團發起,其攻擊目標也多是相當知名的企業,使用的手法通常比較精進,也會要求很高的贖金。在2023年,網路攻擊事件的數量不僅明顯再度增加,且已經恢復到2021年的水準,甚至還有所超越,最主要的原因也是RaaS型態下,使得攻擊變得普及且易於實施,也導致發起攻擊的團體變多。如今的狀況多是中小型企業遇害,與兩年前多事大型企業遭攻擊的狀況不同。
因為中小企業的資安處理能力,與大型企業相比,有一定的落差,而且勒索攻擊的型態並不全然是加密勒索,因為「偷資料的勒索」也逐漸成為常態,有些甚至是鎖定重要個資竊取的勒索。
以現階段資安事故的狀態勢必會延續到2024,今年1.2月份已有9起的資安是件重大訊息,相較於過往明顯增加。
資訊出處:【2023年有23起資安事件重大訊息】上市櫃公司屢遭網路攻擊,中小企業災情大增
結論
台灣社會面臨的資安挑戰日益嚴重,政府對於此表現出高度的重視,從金管會針對上市櫃公司的資訊安全進行一系列的規範與措施,以此提高企業對資安重視程度,此外中小企逐漸成為攻擊目標的狀況來說,所有企業的資安管理需要不斷的強化與完善。
金管會的規範與措施對提升上市櫃公司的資安管理有一定作用,企業應積極遵循相關規定,加強資安防護,並可導入第三方認證機構的支援,如ISO 27001,來建立可靠的資訊安全管理系統,以應對日益嚴峻的資安挑戰,這些措施將有助於為資安防護奠定基礎,保障企業和民眾的資訊安全。
競爭力企管擁有ISO認證輔導的豐富經驗,以及專文詳細說明ISO標準、企業管理與時事新知等文章分享,讓經驗豐富的專業顧問師一對一線上諮詢為您服務,無論是ISO標準認證、ESG企業永續報告書相關問題、企業管理與教育訓練課程,都歡迎您預約服務!
參考資料:金管會、證交所、iThome、聯合新聞
相關文章:
ISO 27001:2022資訊安全管理系統
什麼是ISMS?
ISO 27001資訊安全管理系統輔導
|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|填寫表單:點此連結
|LINE 線上諮詢:@why4800g
