上市櫃資安 金管會四路防駭
上市櫃資安 金管會四路防駭
近年上市櫃公司、券商系統屢遭駭客攻擊,金管會兵分四路祭強化管理措施,包括修正法規、建立內控及資通安全制度、強化上市櫃公司資通安全資訊公開、鼓勵資安情資分享。金管會指出,上市櫃公司及證券商的資通安全攸關投資大眾權益,金管會已積極配合推動國家資通安全政策完成相關資通安全措施。
去年爆發多家券商複委託遭駭客入侵,導致客戶自動「被下單」買港股。也因此,金管會在「法規修正」上,完成「公開發行公司年報應行記載事項準則」、「公開發行公司建立內部控制制度處理準則」、「上市上櫃公司資通安全管控指引」、「建立證券商資通安全檢查機制」等相關法規修正及指引,提醒上市(櫃)公司及證券商自2022年起應依相關規定辦理。
在「建立內控及資通安全制度」上,金管會已請證交所修正公司治理評鑑指標,有完成導入國際資安標準並取得外部驗證的上市櫃公司,將在公司治理評鑑時加分。另外,證交所及櫃買中心也已發布上市上櫃公司資通安全管控指引,供上市櫃公司參考。
金管會也要求,符合一定條件的證券商應指派副總經理以上或職責相當之人兼任資訊安全長。證券商並應依證交所資通安全檢查機制分級防護應辦事項,依期程導入國際資安標準並通過驗證及辦理系統滲透測試、資安健診等強化資安防護措施。
「強化上市櫃公司資通安全資訊公開」方面,金管會要求上市櫃公司除應於股東會年報中敘明資通安全政策、具體管理方案及投入資通安全管理的資源等資訊外,如遇發生重大資通安全事件,應即時發布重大訊息說明發生緣由、可能損失、改善情形及因應措施,並於損失達一定金額以上時,召開重大訊息記者會說明,及於股東會年報中揭露所遭受損失、可能影響、因應措施等資訊。
在「鼓勵情資分享」上,證券商若發生重大資安事件,應依規定進行通報及循F-ISAC情資分享管理辦法分享資安情資,金管會並且已責成證券期貨相關機構共同成立證券暨期貨市場電腦緊急應變支援小組(SF-CERT),協助證券期貨業者應變資安事件,亦鼓勵上市(櫃)公司加入TWCERT等資安資訊分享平台。
