金管會推動上市櫃公司及證券商資通安全管理強化措施

推動上市（櫃）公司及證券商資通安全管理強化措施

上市（櫃）公司及證券商之資通安全攸關投資大眾權益，金融監督管理委員會（下稱金管會）積極配合推動國家資通安全政策完成相關資通安全措施，已督導證交所及櫃買中心組成資安相關跨部門任務型專案小組，並完成「公開發行公司年報應行記載事項準則」、「公開發行公司建立內部控制制度處理準則」、「上市上櫃公司資通安全管控指引」、「建立證券商資通安全檢查機制」等相關法規修正及指引，提醒上市(櫃)公司及證券商自111年起應依相關規定辦理。

上市（櫃）公司及證券商應建立適當內部控制以降低資通安全風險，除應建立適當資通安全作業，並應配置適當人力資源及設備進行資訊安全制度之規劃、監控及執行。金管會已請證交所修正公司治理評鑑指標，完成導入國際資安標準並取得外部驗證之上市（櫃）公司，將於公司治理評鑑時加分，並請證交所及櫃買中心發布上市上櫃公司資通安全管控指引，提供上市（櫃）公司執行內部控制措施時之參考。另證券商部分，符合一定條件之證券商應指派副總經理以上或職責相當之人兼任資訊安全長。證券商並應依證交所資通安全檢查機制分級防護應辦事項，依期程導入國際資安標準並通過驗證及辦理系統滲透測試、資安健診等強化資安防護措施。

另為強化上市（櫃）公司資通安全資訊公開，上市（櫃）公司除應於股東會年報中敘明資通安全政策、具體管理方案及投入資通安全管理之資源等資訊外，如遇發生重大資通安全事件，應即時發布重大訊息說明發生緣由、可能損失、改善情形及因應措施，並於損失達一定金額以上時，召開重大訊息記者會對外說明，及於股東會年報中揭露所遭受之損失、可能影響、因應措施等資訊。

此外，金管會鼓勵上市（櫃）公司及證券商透過資安資訊之情資分享，以達資通安全聯合防禦之效能，除已要求證券商若發生重大資安事件，應依規定進行通報及循F-ISAC情資分享管理辦法分享資安情資，金管會並已責成證券期貨相關機構共同成立證券暨期貨市場電腦緊急應變支援小組(SF-CERT)，協助證券期貨業者應變資安事件，亦鼓勵上市（櫃）公司加入TWCERT等資安資訊分享平台，如上市（櫃）公司及證券商有相關疑問或需求，可洽詢證交所及櫃買中心提供協助。(資料來源：金融監督管理委員會證券期貨局)