DaveC
@davecode
說
Wed, Jan 12, 2022 5:32 AM
7
8
為協助上市櫃公司強化資安防護及管理,近期政府相關發布法令或規範如下:
1. 金管會(法令函釋)已於2021/11/30修訂「公開發行公司年報應行記載事項準則」第十八條和第二十條
主要重點為:自2021年(民國110)公司年報起,應敘明載明以下資安管理作為,讓投資人能夠判斷:
A. 明訂資安管理的資訊公開。
B. 需揭露重大資安事件的損失與影響,並要說明遇到事件時,公司是如何因應。
C. 需揭露資通安全風險對公司財務業務的影響與因應措施。
DaveC
@davecode
說
Wed, Jan 12, 2022 5:33 AM
2.證交所(新聞稿)已於2021/12/23發布「上市上櫃公司資通安全管控指引」
A.主要目的為強化上市櫃公司資通安全防護及管理機制,並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業。
B.雖為上市上櫃公司指引,但仍可當作目前主管機關對於公開發行以上公司在資安防護及管理上應發展的方向。
DaveC
@davecode
說
Wed, Jan 12, 2022 5:33 AM
3.金管會(法令函釋)已於2021/12/28修訂「公開發行公司建立內部控制制度處理準則」新增第9-1條:
第9-1條:
公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者,本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員。
前項一定條件,由本會定之。
DaveC
@davecode
說
Wed, Jan 12, 2022 5:35 AM
一定條件
:上市(櫃)公司應依下列分級標準配置適當資安人員,其實施範圍及時程如下:
Deva
@davelin
Wed, Jan 12, 2022 5:41 AM
這陣子看到資安長,最少要有副總以上職位。
Deva
@davelin
Wed, Jan 12, 2022 5:42 AM
然後,這些法令只是一點點開端。很多麻煩的事要做,不是一份正職而是再加上很多額外工時(瘋狂加班....)在 文書、人員作業調整、設備採購、稽核、驗證等事情上
Deva
@davelin
Wed, Jan 12, 2022 5:43 AM
因應這些法令要求。 資訊部,再創造出一個資安部.
載入新的回覆
1. 金管會(法令函釋)已於2021/11/30修訂「公開發行公司年報應行記載事項準則」第十八條和第二十條
主要重點為:自2021年(民國110)公司年報起,應敘明載明以下資安管理作為,讓投資人能夠判斷:
A. 明訂資安管理的資訊公開。
B. 需揭露重大資安事件的損失與影響,並要說明遇到事件時,公司是如何因應。
C. 需揭露資通安全風險對公司財務業務的影響與因應措施。
A.主要目的為強化上市櫃公司資通安全防護及管理機制,並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業。
B.雖為上市上櫃公司指引,但仍可當作目前主管機關對於公開發行以上公司在資安防護及管理上應發展的方向。
第9-1條:
公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者,本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員。
前項一定條件,由本會定之。