金管會正式要求臺灣上市櫃大型企業都需設置資安長 - iThome

隨著資安威脅日益嚴峻，以及資安長的議題已探討多年，能讓業界先有所準備，自2021年開始，金融業的銀行、保險、證期業者率先受到規範。

先前，這些公司就被 ... 移至主內容 文/羅正漢 | 2021-12-30發表 政府機關設置資安長已行之有年，但國內企業一直未能出現這樣的風潮，因此，從2017年開始，對於國內產業對於設置資安長（CISO）的議題，開始持續受到熱烈的探討，期望驅策各產業公司增設資安管理高層，以利資安政策推動與資源協調。

隨著資安威脅日益嚴峻，以及資安長的議題已探討多年，能讓業界先有所準備，自2021年開始，金融業的銀行、保險、證期業者率先受到規範。

先前，這些公司就被要求設置資安專責單位，現在則進一步提升至應設置資安長，所有銀行都要這麼做，而保險與證期業者則有不同條件，達到一定規模者亦需設置。

更受關注的是，現在，設置資安長一事開始擴及各個產業。

這項資安人力配置新規定，是在12月28日正式施行，金管會正式發布新版「公開發行公司建立內部控制制度處理準則」，這次修正的重點在第9條之1及第47條當中，明訂上市櫃公司需設置資安長，以及資安專責單位。

特別的是，由於公司規模與產業別的差異，因此這次修正中，也明確畫分三個級別。

以第一級公司而言，應設資安長與資安專責單位，並在2022年底完成；第二級公司，需設置資安專責單位，並在在2023年底完成；第三級則是至少1名資安專責人員，僅是鼓勵設置。

臺灣上市櫃多個產業龍頭均受規範，需設資安長與資安專責單位 有哪些公司2022年底需設資安長與資安專責單位？從分級標準來看，以第一級的條件而言，包含資本額100億元以上的大型公司，或是前一年底屬於臺灣50指數的高市值公司，同時，將電子商務與人力銀行產業納入。

換言之，光是國內資本額破百億的上市櫃公司就有100多間，加上其他條件不重複的公司，大致將有100多家符合第一級的標準。

若從產業別來看，當中其實包含了水泥、食品、電機、汽車、電信、海運與金融保險業，以及半導體、光電、電子零組件與電腦及週邊設備等。

顯然，這意味著這些產業的龍頭，都開始要設置資安長。

接著，有哪些公司2023年底需設資安專責單位？這部分鎖定的是國內普遍的上市櫃公司，因為第二級的條件，就是第一級以外，最近三年度稅前純益未有連續虧損，且每股淨值未低於面額者，基本上，將會有1千多家公司符合此條件。

最後，在上述第一、二級以外的上市櫃公司，也就是最近3年度稅前純益有連續虧損，或最近年度每股淨值低於面額的公司，屬於第三級。

對於這類公司，新修內控制度準則在此未有太多要求，僅提到應有至少1名資安專責人員，沒有明訂實施時程，但鼓勵設置。

關於上市櫃公司應配置資訊安全人力的一定條件，金管會已有規範，將採循序漸進方式推動辦理，總共分為三級，實施範圍與時程如上表所示。

  近兩個月來，10多家公司接連公告新任命資安長一職 在資安長設置入法後，納入多項法令規範之下，近期不少企業開始採取行動。

首先，由於2021年9月時，銀行、保險、證期業者已先受規範，要求指派副總以上層級擔任資安長，成為法規明訂條文，緩衝期限是到2022年3月底。

因此，最近兩個月，我們看到許多業者紛紛採取行動。

例如，在11月，新增設資安長的公司，包括：統一證券、國泰投信、國泰綜合證券、元大證券、玉山金控、群益證券、元大投信與元大銀行；在12月，兆豐國際銀行將既有資安長一職，調整為副總經理層級擔任，台企銀、合作金庫票券金融、華南永昌綜合證券、高雄銀行與兆豐票券金融等，也陸續增設資安長。

此外，在11、12月期間，金管會又宣布，所有上市櫃公司也將受規範，第一級業者需設置資安長與資安專責單位。

儘管不少符合條件的大型企業，其實早已將資安視為企業治理重要議題，成立了資訊安全委員會、資安長，或是指派、聘用資安主管。

但相對地，還沒做到上述設置的其他公司，就要趁著這一年時間採取行動。

特別的是，在2021在12月初，最新的臺灣50指數成分股的調整預告中，這次新增一家公司──國內上市PCB大廠欣興電子，並於12月20日開盤後生效。

等於他們才剛納入臺灣50指數，而該公司在此方面的反應相當迅速，他們在12月16日即宣布，董事會通過新設立資訊長暨資安長一職，等於及早因應這項法令的要求。

在12月新納入臺灣50指數成分公司的上市PCB大廠欣興電子，在12月16日宣布，新增設資訊長暨資安長一職。

  醫療產業將積極設置資安長 另外，在8大關鍵CI領域中，除了金融領域，最近醫療院所領域也在探討設置資安長的議題。

在2021年12月，衛生福利部資訊處處長龐一鳴說明，在資通安全法要求下，公務機關與關鍵CI都需設立資安長，可由機關首長指派副首長或適當人員兼任，因此，屬於公務機關的公立醫院，以及被指定為CI醫院的私立醫院，需強制設置資安長一職，至於其他私立醫院雖沒有受到強制規範，但衛福部也將藉由其他鼓勵方式，讓這些醫院也朝設立資安長的目標前進。

整體而言，從目前規範來看，主要強調公司應指派綜理資訊安全政策推動及資源調度事務之人，兼任資訊安全長，並沒有要求需獨立設資安長，或許是考量目前市場人力的短缺，以及現在還是在推動建立公司資安治理基礎的階段。

而就時機點來看，此事發布時間看起來也相當適合，畢竟國際企業在設置資安長方面走得更前面，國內對此議題也已談論四、五年，至少讓外界有所準備，而從2020年3月開始至今，國內許多產業景氣回升並更鼎盛，市值成長數倍的公司相當多，在公司獲利支撐下促使企業強化資安治理，資源應會更為餘裕。

但，國內企業或許也要深想的是，如何趁早掌握資安人才，幫助公司越早做好相關規畫。

無論如何，資安問題就擺在眼前，企業高層若無人重視，誰來推動相關政策與協調資源？但同時要注意的是，公司並不是有了資安長就能無憂，要能真正推動企業內部資安的逐步落實，才能發揮作用。

iThomeSecurity 熱門新聞 微軟、AWS向不想回公司上班的特斯拉員工招手 2022-06-06 AWS本地雲將落腳臺灣！亞馬遜AWS將在臺推出地區型公雲服務LocalZone 2022-06-06 【PPAP弊多於利，日本多個機構與企業已明令禁用】以密碼壓縮檔在網路傳遞文件不合時宜 2022-02-22 Container周報第149期：Docker桌面版正式支援Linux，未來連樹莓派OS都能裝 2022-06-07 微軟WindowsAutopatch進入公開預覽 2022-06-06 印度要求VPN業者蒐集用戶資料，ExpressVPN全面移除印度伺服器 2022-06-06 壽險公會保險存摺正式上線，讓保戶可一站查詢所有人身投保資料 2022-06-01 Windows11更新臭蟲讓規格不符的舊PC也能安裝 2022-06-10 Advertisement iThomeSecurity 專題報導 【確保軟體供應鏈安全的第一步】快啟用MFA！保護開發者帳號刻不容緩 老牌鋼鐵廠的敏捷舞 6年SRE老手為何仍大當機14天 【從端到端數位化，邁向以顧客體驗為核心】玉山金控金融即服務戰略2.0 解放政府行動力 更多專題報導