《前言》
在前面提了金融業、證券業之後,我們接著來看指標型企業的股東會年報有關資通安全的部分,首先當然是看台灣的護國神山台積電在資通安全管理在股東會年報的揭露情況。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
5.5.1 資通安全政策與組織
維護半導體技術領先、卓越製造以及客戶信任為台積公司持續成長的優勢,資訊安全與機密資訊保護是台積公司對客戶、股東及夥伴的承諾。台積公司為有效推行資訊安全管理制度,明訂相關的政策、管理程序及規範,以達到完善的資訊安全與資訊保護能力。台積公司秉持企業永續管理精神,發表**《資訊安全宣言》**,宣示台積公司的決心,推動並積極強化資訊安全與機密資訊保護機制,以捍衛台積公司客戶與合作夥伴之利益。為使台積公司的資訊安全達到良好的治理,台積公司於民國一百零八年設立企業資訊安全組織,負責制定及規劃公司資訊安全政策與執行辦法,藉由政策執行和法規遵循查核,持續檢討資安風險控管機制之有效性,不斷強化台積公司資訊安全。企業資訊安全組織最高主管每六個月向審計委員會報告執行計劃與成效。
台積公司高階主管參與資訊安全策略的方向規劃與執行,以達成良好的資訊安全管理。台積公司成立**「專屬資訊保護委員會」**,由資訊技術及資材暨風險管理資深副總經理擔任主席
,由法務、人力資源、研究發展及營運副總經理擔任委員會成員,企業資訊安全組織主管擔任執行秘書,每季定期召開會議檢視及決議重要資訊安全與資訊保護政策,確保 實現台積公司資訊安全政策目標。
5.5.2 資通安全管理策略與資源
企業資訊安全組織積極深化資訊安全與機密資訊保護機制以維護台積公司的競爭力,更明訂資訊安全規範、標準與實踐,持續進行管理制度與技術的強化,並執行全方位的風險管控,以達到台積公司資訊安全管理的目標。企業資訊安全組織定期執行資安風險評估,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的方法,架構多層的資安防禦,並建立資訊安全關鍵績效指標。台積公司於民國一百一十年投資總計超過新台幣10億元強化資訊安全,超過500名員工負責資訊安全相關業務,另有超過1,000名外部人員負責警勤等資安相關工作。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
台積公司已建置企業風險管理機制與資安事件處理標準程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受之損失及進一步的必要因應措施、評估資安風險可能對公司財務與營運的影響及其因應措施。民國一百一十年及截至年報刊印日止,台積公司無重大資安事件也沒有資安事件造成的財務損失、營運影響,與因應措施。
《分析》:
在介紹完畢去年有發生資安事件的公發公司之後,我們來看具有指標性的台積電股東會年報有關於資安揭露的部分,也給大家做個參考。
首先,就公司治理的部分,公司先發表一份《資訊安全宣言》,主要是宣示性作用,不過,這份宣言並非只有包含台積點本身,還包含其合作客戶,只是還是有合作廠商不見得能夠保護得到,但是,這裡就是講出,供應鏈只要一出事,就有可能會有斷鏈的危機,這也是之前筆者有提到的部分,至於要如何整合上下游,這個就需要盡快制訂出資安互助的程序了。
再來就是,台積電是有設立企業資訊安全組織,每半年定期向董事會及審計委員會報告,以台積電的規模,要彙整資安的資料的確需要時間,不過,如果遇重大資安事件,如果有需要報告,還是要在處理完畢之後,向董事會及審計委員會報告,此外,在重大資安事故之後,仍要發佈重訊對外說明事件經過,當然,我們不希望發生任何資安問題,但由於指標型企業本來就是最容易受攻擊的對象,同時,也是大家會想借鏡的公司,重大事件如果能分享處理方式,也是對強化國家資安有所幫助的。
最後,我們看台積電所提出的資安預算,的確是很大手筆的支出,其動員的人數也是相當驚人,中小型企業或許沒辦法如此大手筆,但是,能夠提出固定的預算,至少也讓股東能夠知道,公司有在資安上投入預算。
當然,有了宣示跟預算支出,台積電還是缺乏評鑑,這是比較可惜的部分,畢竟,公司還是要有評鑑與測試,才能了解公司實際的資安投入的效益與結果。
股東會年報主要是針對股東權益作出說明的報告,公司很重要的一件事就是維護股東權益,如果,很多事情都無法交代清楚,或者安定股東信心,那麼公司應該就是有所失職了。