iT邦幫忙

2022 iThome 鐵人賽

DAY 1
2

《前言》:

筆者在今年第一季開始,就陸續被朋友問道股東會年報所要揭露的資通安全的部分,應該要怎麼寫?所以我就看了一下法令,大概就是下面兩條法令,但是,這兩條法令其實要在股東會年報上面完整的揭露,其實難度很高。

後來,我陸續拜讀了幾家公司的股東會年報之後,我看到不少公司,基本上只是應付主管機關的,並沒有很認真在寫(或者根本不知道怎麼寫),不過,指標性的企業,有的還是寫得很有水準,之後,筆者也會在後面的案例中說明。

只不過,近期因為美國眾議院議長裴洛西來台拜訪的關係,卻意外的看到許多資安事件,突然跑了出來,譬如說台鐵大廳的電子看板,被入侵及竄改,我們單就網路攻擊來說,老實說,對岸並沒有發動真的攻擊,可是其實警告意味濃厚,如果真的發動網攻,那麼筆者認為下場可能不是只有今天這樣了。

從這件事情往下思考,台灣的企業可是台灣的經濟命脈來源,大家也心知肚明,台灣的大部分企業也並沒有很認真在思考資安這個問題,如果從筆者今年度看到股東會年報的內容,我覺得如果真的被攻擊,那麼台灣可能很快的各大企業就會開始被一個一個攻陷,那麼下場可是會如焦土一般的慘烈,所有企業的經濟活動都應該會癱瘓!

講了這些,不是要製造恐慌,而是希望大家有所警覺,同時,也冀望公開發行公司能夠當作領頭羊,至少這些屬於台灣經濟命脈的領頭羊,如果真的出現任何狀況時,能夠盡量守住,並減低損失了...

以下開始正式進入主題:

> 《法源依據》:
> 
> 公開發行公司年報應行記載是項準則:
> 
> 第 18 條
> 六、資通安全管理:
> (一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
> (二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
> 
> 第 20 條
> 公司應就財務狀況及財務績效加以檢討分析,並評估風險事項,其應記載事項如下:
> 六、風險事項應分析評估最近年度及截至年報刊印日止之下列事項:
> (五)科技改變(包括資通安全風險)及產業變化對公司財務業務之影響及因應措施。

2022年開始,公開發行公司(以下簡稱公發公司)必須要將2021年的資通安全揭露到股東會年報上,讓公司的股東能夠知道過往一年之內,公司有發生那些資安事件,以及目前在資通安全上,公司的執行狀況。筆者在今年年初的時候,過去在公發公司任職的一些前同事,向筆者詢問相關問題,對這部份都非常的頭痛,理由之一,便是沒有相關資安的知識,無從下筆,就算由資安的執行單位來寫,大部份也不知道到底該揭露到何種程度,才算充分揭露?

此外,也有針對公司治理方面的問題,提出相關的疑問,例如,是否資安相關議案要提到審計委員會上?等等,諸如這類公司治理的問題,也讓大部分撰寫本年度的股東會年報的單位困擾不已。

再來,就是針對政策及投入資源的部分,很多一般公發公司由於並未達到一定的規模,所以基本上都是將資安外包居多,因此在這兩方面,大部分都寫的比較籠統一些,而有些資本額較大的上市櫃公司,大部分揭露的狀況,就是過往一年之內,曾經參與哪些資安會議,或者說新增多少管理規定,但很重要的是,資安是需要推行至全公司,然而,很多都只揭露到管理階層,而非推行到全公司,所以在某些方面就變成管理階層在努力開會,然而,整體推行狀況就付之闕如。

最後,就是最近年度資通安全事件的揭露,大部分都以公開資訊觀測站上有無公佈重大訊息為主,然而,金管會的裁罰事項是否要列入呢?這也是值得討論的一點。此外,就是針對重大性資安事件揭露的說明,很多並未清楚的列示及說明,反而是外面的新聞所分析的內容比公司揭露的更佳詳細,因此,到底要略為帶過,還是要將重點及解決辦法列出呢?這都是值得討論的部分。

綜合以上幾個觀點,筆者將在這三十天內將所遇到的問題及分析,透過案例分享,在鐵人賽作分享,也希望大家能對於一般的公發公司資安的揭露有更深一層的了解。


下一篇
Day 2 股東會年報案例分析1--宏碁(2353) (產業別:上市,電腦及週邊設備業)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言