由於上市櫃公司若遇到資安事件時，經常會有隱匿不公開的行為，但因資安事件會造成公司損失，亦會造成投資人的損失，因此金管會、證交所、櫃買中心陸續開始針對資安方面訂定相關規範，包括要求設置資安長、遇到資安事件時應主動發布重大訊息，以保障投資人權益。

重大訊息

在證交所的《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》、櫃買中心的《財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序》都有明訂出資安事件為需要公開的重大訊息：

• 《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》第四條

上市公司重大訊息，係指下列事項：
（前略）
二十六、發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，致有下列情事之一者：
（一）造成公司重大損害或影響者；
（二）經有關機關命令停工、停業、歇業、廢止或撤銷污染相關許可證者；
（三）單一事件罰鍰金額累計達新台幣壹佰萬元以上者。

• 《財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序》第四條

上櫃公司重大訊息，係指下列事項：
（前略）
二十六、發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，致有下列情事之一者：
（一）造成公司重大損害或影響者；
（二）經有關機關命令停工、停業、歇業、廢止或撤銷污染相關許可證者；
（三）單一事件罰鍰金額累計達新台幣一百萬元以上者。

資安長與專責單位

依據去年金管會發布施行的《公開發行公司建立內部控制制度處理準則》規定，金管會可要求公司設置資安長、資安專責單位與人員。

• 《公開發行公司建立內部控制制度處理準則》第九之一條

公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。
前項一定條件，由本會定之。

而金管會分為了三級，第一級需在今年底完成資安長、資安專責單位（含專責主管、至少兩名資安專責人員）的設置，第二級則需在明年底前設置資安專責主管和一名資安專責人員，第三級則為鼓勵設置。

第一級

• 資本額 100 億元以上
• 前一年底屬台灣 50 指數成分公司
• 藉電子方式媒介商品所有權移轉或提供服務（如電子銷售平台、人力銀行等）收入占最近年度營業收入達 80% 以上，或占最近兩年度營業收入達 50% 以上者

第二級

第一級以外的上市櫃公司，最近三年稅前純益無連續虧損，且最近一年財報每股淨值不低於面額。

第三級

第一級以外的上市櫃公司，最近三年稅前純益有連續虧損，或最近一年財報每股淨值低於面額。

上市上櫃公司資通安全管控指引

為協助上市櫃公司強化資安，並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業，因此證交所、櫃買中心共同訂定了此指引，讓上市櫃公司有資安管控的作法可以參考。