loader

董監事需正視的資安議題

今年臺灣資安大會,公司治理和物聯網(IOT)並列為熱門議題。除了資安大會,上半年我參與的教育訓練也呼應公司治理議題。

 在5月份SP-ISAC(Science Park Information Sharing and Analysis Center,科學園區資安資訊分享與分析中心)研討會,匯集新竹科學園區資安通報窗口。一開場,我詢問現場聽眾三個問題:(1)是否負責填答國際永續評比單位的資安問題?(2)是否負責回答客戶買家資安稽核的問題?(3)是否負責公司年報、企業社會責任年報或公司網站的資安揭露?去年跟以往有什麼不一樣之處?這些企業資安官面對的議題,和我至中華公司治理協會董監事授課息息相關。

 在此,我們借用OECD公司治理六大原則來說明資安的重要性:(1)確保有效的公司治理架構、(2)保障股東權益、公平對待股東及發揮其重要功能、(3)機構投資人、證券市場及其他中介機構、(4)重視利害關係人之權益、(5)資訊揭露及透明性、(6)落實董事會之責任。由於篇幅關係,本文先分享OCED原則(3)(4)(5)和資安關係。

資安納入國際評比指標

 以國內業者熟知的道瓊永續指數(Dow Jones Sustainability Indices)為例,資安項目包含資安與隱私兩大重點,從董事會參與度、高階主管責任、資安應變組織、隱私保護程序,甚至資安保險限額。這些議題都可以對照去年底證期會鼓勵上市櫃公司年報揭露項目,將在下文第三點討論。

資安為利害關係人權益

 國外重要買家為公司重要利害關係人。這一兩年,他們透過採購合約,希望國內供應商購買資安保險一定的限額,以便轉嫁供應商萬一發生資安事件所需的處理費(如:訴訟)。

 除國外重要買家的要求,國內相關法案提供處理資安事件之遵循依據。除了行之有年的《個人資料保護法》與今年實行的《資通安全管理法》(簡稱資安法),一般人不會注意去年底通過的《資通安全管理法》六項子法。在資安法六項子法中,《資通安全事件通報及應變辦法》與《資通安全管理法施行細則》提及資安事件後通報及應變機制措施,如:事件紀錄、事件鑑識╱調查╱根因分析、事件損害控制與事件復原。另外針對上市櫃公司,因資安事件損失超過公司股本20%或3億元以上屬於重大訊息,須召開說明會向外界投資者說明。

國內揭露評鑑與時俱進

 去年底,臺灣證券交易所鼓勵國內上市櫃公司揭露資安風險。其揭露內容包括:風險管理組織架構、資訊安全政策(如:內控重點及標準作業程序SOP)、資安與網路風險之評估、資安管理系統(ISMS)驗證(如:ISO 27001)、已發生重大資安事件之影響及因應措施,以及資安保險之安排 (如承保範圍及保額等)。

 今年新版的公司治理評鑑指標也納入資安項目:「公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報?」該指標以公司網站或年報的資安揭露,為公司治理評鑑的資訊依據。

 以上我們歸納國外買家、國際評比與國內法規的新趨勢,呼應過去本系列文章討論的「數位韌性」議題。本文探討資安緊急應變的費用與支出,如:第三人損害賠償、資安事件紀錄、鑑識、損害控制與復原、危機公關,以及律師訴訟等,皆在資安保險的承保範圍。在我國資安法規與實務逐步與國際接軌同步,董監事需將資安風險納入公司風險管理雷達中。