從華航到iRent都被「駭」 上市櫃公司未來資安危機未重訊將開罰

今 (2023) 年以來，上市櫃公司接連傳出資安異常事件，從華航到 iRent 都被「駭」，金管會今 (9) 日要求各上市櫃公司要從三大面向強化資安管理，並要求一旦造成公司重大損害或影響，必須在台股開盤前 2 個小時以前要對外發布重大訊息，若未揭露依法可處以 3 萬~ 500 萬元罰鍰。

華航 (2610-TW) 今年 1 月被踢爆會員資料外流，包括副總統賴清德、名模林志玲的個資都外洩，華航在 2 月 12 日發布重大訊息，揭露接獲網路匿名勒索信；飛宏科技 (2457-TW)2 月 13 日也發布重訊公告表示，第一時間發現網路資安異常後，即刻阻斷對外網路連結並通報檢調。不但如此，和泰集團旗下共享汽車品牌 iRent，也在 2 月被爆出四十萬名消費者的個資遭外洩，

為強化上市（櫃）公司資訊安全管理機制，金管會表示，已從資訊揭露、公司治理及監理協助三大面向採取下列措施，以推動強化公司資通安全管理：

一、資訊揭露層面：為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊，金管會、證交所及櫃買中心已修訂相關法規，要求上市（櫃）公司於發生重大資安事件時，應即時發布重大訊息，另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。

其中，在發布重訊方面，金管會表示，一旦造成公司重大損害或影響，必須在台股開盤前 2 個小時、也就是上午 7 點以前，要對外發布重大訊息，若未揭露依法可處以 3 萬~ 500 萬元罰鍰。

二、公司治理層面：金管會業依資本額規模、市值、業務性質及營運狀況等劃分上市（櫃）公司為 3 等級，分階段要求配置資訊安全人力資源，其中第一級公司 115 家已於 111 年底完成設置資安長、資安專責主管及人員；第二級公司 1387 家預計於 112 年底前完成設置資安專責主管及人員。另為積極協助上市（櫃）公司完善資通安全防護及管理機制，證交所及櫃買中心並已訂定資通安全管控指引供公司參考。

三、監理協助層面：金管會透過鼓勵方式推動上市（櫃）公司依風險等級分期加入台灣電腦網路危機處理暨協調中心 (TWCERT) 共享資安情資；此外公司導入 ISO 27001、CNS 27001 等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入 111 年度公司治理評鑑指標加分項目。