事件分級，從政府機關談事件分級

自從108年通過<資通安全管理法>，政府機關也不得不落實執行，依法行政，有法源依據，至少有個做的依據，陸續經過幾年，時至今日為111年，某些客戶也從不得不做 -> 想辦法做的落地，優化並提高效率。

而先從政府層面依循的<資通安全管理法>之資通安全事件通報及應變辦法，其分級由 機密性、完整性及可用性作為判斷因素，才依據嚴重分為四級。

來源：【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引（上）|iThome

事件分級，從上市上櫃談事件分級

金管會 2022/2/6 新聞稿 「推動上市（櫃）公司及證券商資通安全管理強化措施」

「公開發行公司年報應行記載事項準則」、「公開發行公司建立內部控制制度處理準則」、「上市上櫃公司資通安全管控指引」、「建立證券商資通安全檢查機制」等相關法規修正及指引，提醒上市(櫃)公司及證券商自111年起應依相關規定辦理。
上市（櫃）公司及證券商應建立適當內部控制以降低資通安全風險，除應建立適當資通安全作業，並應配置適當人力資源及設備進行資訊安全制度之規劃、監控及執行。金管會已請證交所修正公司治理評鑑指標，完成導入國際資安標準並取得外部驗證之上市（櫃）公司，將於公司治理評鑑時加分，並請證交所及櫃買中心發布上市上櫃公司資通安全管控指引，提供上市（櫃）公司執行內部控制措施時之參考。

心得：

1. 依據上市公司如發生資安事件，應發重大訊息。

(依據上市上櫃重大訊息程序第4條第1項第26款)
二十六、發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，致有下列情事之一者：
（一）造成公司重大損害或影響者；
（二）經有關機關命令停工、停業、歇業、廢止或撤銷污染相關
許可證者；
（三）單一事件罰鍰金額累計達新台幣一百萬元以上者。

2. 承上，有造成公司重大損害或影響者 ，關鍵在有影響者 是多影響，目前還沒有具體的說明，參考 上市公司重大訊息發布應注意事項參考問答集

一、有關第 26 款「發生資通安全事件，造成公司重大損害
或影響者。」應如何發布重大訊息？
答：
(一) 公司應依「壹、發布重大訊息遵循程序及判斷標準」進行是否發布重大訊息之評估並留存相關軌跡紀錄。公司發生資通安全事件造成損害或影響之評估範圍，包括但不限於財務損失、商譽或智慧財產權之損害、顧客或供應商關係之影響、競爭優勢之喪失、修補漏洞及未來加強資安保護措施之成本，暨其未來可能伴隨之訴訟調查等。
(二) 公司發生資通安全事件，依前開評估範圍估算之結果，或媒體報導公司發生資通安全事件，可能影響投資人之
投資決策時，公司即應依第 26 款發布重大訊息。

3. 具體的說，資安事件影響上市上櫃公司要發重訊較為客觀的依據，應該為重訊程序：

• 第4條第1項第26款，如上所述，造成公司影響者，這個應由公司依據上市上櫃公司資通安全管控指引，制定資安事件通報程序而訂，常見的為參考政府資安法進行分級：3、4級資安事件為重大，發重訊，1、2級為一般事件不發重訊。當然也有其他分級辦法。
• 第11條第1項第9款，發生災難、集體抗議、罷工、環境污染、資通安全事件 、遭主管機關處分或其他重大情事致造成公司重大損害或影響，且扣除其依保險契約設算獲賠金額後預估損失超過該公司實收資本額百分之二十 或 新台幣三億元以上者 。股票為無面額或每股面額非新台幣十元者，前開有關實收資本額百分之二十部分改以淨值百分之十計算之。

事件分級，從外商談事件分級

外商的資安事件分級，就相當的自由，若因無在台上市，基本上受限不多，雖然有公司登記，但有許多資安程序無法無據不痛不癢，高層長官也 無法無天(誤) ，那資安事件比較會注重再GDPR或個資保護的事件。

那分級的方式，也不一定為四級，也可能為分三級(重大、一般、輕微)，或分兩級(重大、一般)，通常是重大資安事件(即資安事故)，再進行資安事件處理。

後記：但是假外商真台商，或是奇奇怪怪的，通常都不會在意，比較在意中勒索後再說。

參考資料

資通安全事件通報及應變辦法
【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引（上）|iThome
上市上櫃公司資通安全管控指引
臺灣證交所 上市公司資通安全專區