上市櫃資安頻傳 開盤前未發布重訊 重罰500萬

　上市櫃公司華航、和泰車下的iRent近期都發生資安出包事件，金管會三路強化。金管會證期局主秘黃厚銘9日指出，要求各上市櫃公司三面向強化資安管理，並要求資安事件一旦造成公司重大損害或影響，公司在次一營業日開盤前2個小時，即上午7點前要對外發布重大訊息，若違反將受處分3萬至500萬元。

　黃厚銘指出，金管會、證交所及櫃買中心已修訂相關法規，要求上市櫃公司於發生重大資安事件時，應即時發布重大訊息，像是iRent這種重大子公司，和泰車也要代為公告。是否為「重大資安事件」由公司來判斷，發布時間要在次一營業日開盤前2小時（7點前）發布，若違反沒有公告，就是違反了與證交所簽定的契約。

　保險局並力推資安險。保險局指出，資安險有二種，一種是針對大型企業、一種供中小企業，投保意識也日增。據統計，產險公司資安險保費收入由2018年8,908萬元至2022年4億元，資安險投保狀況呈穩定成長，顯示近年企業透過資安保險移轉資安風險意識已逐漸提升。「資料保護責任保險」賣得最好，幾乎國內14家產險業者都有賣。

　金管會強化資安管理兵分三路，一是資訊揭露層面：為使資本市場可獲公司資安事件、暴險及因應措施等重要資訊，金管會、證交所及櫃買中心已修訂相關法規，要求上市（櫃）公司於發生重大資安事件時，應即時發布重大訊息，另亦應於年報及公開說明書中敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應及所遭受重大資通安全事件之影響。

　二是公司治理層面：金管會依資本額規模、市值、業務性質及營運狀況等劃分上市（櫃）公司為三等級，分階段要求配置資訊安全人力資源，其中第一級公司115家已於去年底完成設置資安長、資安專責主管及人員；第二級公司1,387家預計於今年底前完成設置資安專責主管及人員。

　三是監理協助層面：金管會透過鼓勵方式推動上市（櫃）公司依風險等級分期加入台灣電腦網路危機處理暨協調中心（TWCERT）共享資安情資；此外公司導入ISO 27001、CNS 27001等資訊安全管理系統標準或取得其他第三方驗證之標準並已納入去年度公司治理評鑑指標加分項目。