董監事需正視的資安議題

今年臺灣資安大會，公司治理和物聯網（IOT）並列為熱門議題。除了資安大會，上半年我參與的教育訓練也呼應公司治理議題。

　在5月份SP-ISAC（Science Park Information Sharing and Analysis Center，科學園區資安資訊分享與分析中心）研討會，匯集新竹科學園區資安通報窗口。一開場，我詢問現場聽眾三個問題：（1）是否負責填答國際永續評比單位的資安問題？（2）是否負責回答客戶買家資安稽核的問題？（3）是否負責公司年報、企業社會責任年報或公司網站的資安揭露？去年跟以往有什麼不一樣之處？這些企業資安官面對的議題，和我至中華公司治理協會董監事授課息息相關。

　在此，我們借用OECD公司治理六大原則來說明資安的重要性：（1）確保有效的公司治理架構、（2）保障股東權益、公平對待股東及發揮其重要功能、（3）機構投資人、證券市場及其他中介機構、（4）重視利害關係人之權益、（5）資訊揭露及透明性、（6）落實董事會之責任。由於篇幅關係，本文先分享OCED原則（3）（4）（5）和資安關係。

資安納入國際評比指標

　以國內業者熟知的道瓊永續指數（Dow Jones Sustainability Indices）為例，資安項目包含資安與隱私兩大重點，從董事會參與度、高階主管責任、資安應變組織、隱私保護程序，甚至資安保險限額。這些議題都可以對照去年底證期會鼓勵上市櫃公司年報揭露項目，將在下文第三點討論。

資安為利害關係人權益

　國外重要買家為公司重要利害關係人。這一兩年，他們透過採購合約，希望國內供應商購買資安保險一定的限額，以便轉嫁供應商萬一發生資安事件所需的處理費（如：訴訟）。

　除國外重要買家的要求，國內相關法案提供處理資安事件之遵循依據。除了行之有年的《個人資料保護法》與今年實行的《資通安全管理法》（簡稱資安法），一般人不會注意去年底通過的《資通安全管理法》六項子法。在資安法六項子法中，《資通安全事件通報及應變辦法》與《資通安全管理法施行細則》提及資安事件後通報及應變機制措施，如：事件紀錄、事件鑑識╱調查╱根因分析、事件損害控制與事件復原。另外針對上市櫃公司，因資安事件損失超過公司股本20％或3億元以上屬於重大訊息，須召開說明會向外界投資者說明。

國內揭露評鑑與時俱進

　去年底，臺灣證券交易所鼓勵國內上市櫃公司揭露資安風險。其揭露內容包括：風險管理組織架構、資訊安全政策（如：內控重點及標準作業程序SOP）、資安與網路風險之評估、資安管理系統（ISMS）驗證（如：ISO 27001）、已發生重大資安事件之影響及因應措施，以及資安保險之安排 (如承保範圍及保額等)。

　今年新版的公司治理評鑑指標也納入資安項目：「公司是否建置資訊安全風險管理架構，訂定資訊安全政策及具體管理方案，並揭露於公司網站或年報？」該指標以公司網站或年報的資安揭露，為公司治理評鑑的資訊依據。

　以上我們歸納國外買家、國際評比與國內法規的新趨勢，呼應過去本系列文章討論的「數位韌性」議題。本文探討資安緊急應變的費用與支出，如：第三人損害賠償、資安事件紀錄、鑑識、損害控制與復原、危機公關，以及律師訴訟等，皆在資安保險的承保範圍。在我國資安法規與實務逐步與國際接軌同步，董監事需將資安風險納入公司風險管理雷達中。