上市櫃分三級強制要求設資安長 111家明年底前須完成

繼要求金融業須強制設資安長之後,金管會證期局副局長郭佳君今 (25) 日宣布,大型上市櫃公司資安特別重要,所以將分三級來要求上市櫃公司設置「資安長」及「資安專責單位」,其中,有 111 家為第一級,須在明 (2022) 年底完成設置。

金管會表示,為了強化上市櫃公司資訊安全管理機制,研擬修正「公開發行公司建立內部控制制度處理準則」,明定公開發行公司應配置適當人力資源及設備,進行資安制度規劃、監控及執行資安管理作業,並依公司規模大小等條件分為 3 種層級,給以不同資安編制要求。

其中,第一級為資本額 100 億元以上、前一年底屬臺灣 50 指數成分公司,公司藉電子方式媒介商品所有權移轉或提供服務 (如電子銷售平台、人力銀行等) 收入占最近年度營業收入達 80% 以上,或占最近二年度營業收入達 50% 以上者,應設資安長及設置資安專責單位,包含資安專責主管及至少 2 名資安專責人員,並於 2022 年底設置完成;目前第一級公司共有 111 家。

這 111 家上市櫃公司中,已有 49 家設有資安長者,設有資安主管共 83 家,設有資安人員共 87 家。

第二級為第一級以外之上市 (櫃) 公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者;應設立資安專責主管及至少 1 名資安專責人員,並於 112 年底設置完成;目前第二級公司共有 1,321 家,其中,630 家已設資安主管,813 家已設資安人員。

第三級為第一級以外上市 (櫃) 公司,最近 3 年度稅前純益有連續虧損,或最近年度每股淨值低於面額,應有至少 1 名資安專責人員,此部分沒有明訂實施時程,但鼓勵設置;目前第三季公司共有 266 家,其中 132 家已設有資安人員,但尚無公司設有資安長或資安主管。

證期局副局長郭佳君表示,考量大型或從事電子商務的上市櫃公司資安防護日益重要,因此決議修法,盼逐步提升公司資安防護能力;此份草案預告期定為 14 天,希望能在年底前拍板法規,讓各公司及早因應準備。