2023年底前完成資安人力設置
【資安】金管會提醒!2023年底前,上市(櫃)公司應完成「資安人力」設置!
資安人力設置規劃
近年來,政府機關在資安規範與資安長的設置已成為標準且行之有年,隨著線上化與資安意識的普及,為避免資訊安全危機,政府也將資安規範與資安長設置推廣至各民間企業,爾後更是推動了許多的資安政策與規範讓企業遵循與達成。首當其衝的則是金融業的銀行、保險與證券業者,這些金融財務類型的產業是最先受到規範的,接著則會是各中小企業領頭羊的上市(櫃)公司須受到規範,各上市(櫃)公司應遵循資安人力設置的標準。
在「資安人力設置」這塊上,政府在 2021年12月28日 正式施行「公開發行公司建立內部控制制度處理準則」,此規定只要符合一定條件者,則需「分別設置資安專責單位、資安專責人員以及資安長」,簡單來說就是「只要公司有賺錢,就要有相對的資安規範與資安長的設置」,藉此降低企業發生重大資安事件的後續影響。
此準則將全台灣近千家上市上櫃公司分成了三個等級,第一等級之企業應於 2022年底設置完成,而第二等級則須在 2023年底前設置完成。
➤ 第一級:
- 資本額100億元以上
- 前一年底屬臺灣50指數成分公司
- 藉電子方式媒介商品所有權移轉或提供服務者(如電子銷售平台、人力銀行等)
- 其收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者
企業若屬第一級別,應進行「資安長」與「資安專責單位」的設置,資安專責單位設置須包含資安專責主管與至少兩名的資安專責人員,並且應在 2022年底設置完成。
➤ 第二級:
第一級以外的上市櫃公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。
企業若屬第二級別,應進行「資安專責單位」的設置,資安專責單位須包含資安專責主管與至少一名資安專責人員,並且應在 2023年底設置完成。
➤ 第三級:
第一級以外的上市櫃公司,最近3年度有連續虧損,或最近年度每股淨值低於面額。
企業若屬第三級別,應設置至少1名資安專責人員,此部分為「鼓勵」導向,沒有設定實施時程表,但仍建議設置資安規範與專責人員。
2023二階段資安人力設置提醒公告
金管會於 2023年初發布了提醒公告,提醒各上市(櫃)公司盡早進行資安人力設置的規劃,公告如下:
為強化公司資訊安全管理機制,金管會前於110年12月28日修正「公開發行公司建立內部控制制度處理準則」並發布相關令釋,要求實收資本額達新臺幣100億元以上、前一年底屬臺灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市(櫃)公司於111年底前指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少2名資訊安全專責人員),其餘上市櫃公司除最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者外,應於112年底前配置資訊安全專責主管及至少1名資訊安全專責人員。
金管會提醒應於112年底前完成設置資安人力之上市(櫃)公司應適當評估所面臨之資訊安全風險及需求,儘早規劃安排需投入之設備資源及配置資訊安全專責人力,如有調整內部組織架構或人員職務之必要者,應配合修訂相關內部控制制度並提報董事會通過後實施,俾於期限內符合法令要求完成資安人力設置,提升公司資安防護能力。
資料來源:
金管會證券期貨局|新聞稿|金管會提醒於112年底前應完成設置資安人力之上市(櫃)公司,儘早進行規劃