上市上櫃公司資安要求

上市櫃公司通過ISO27001有什麼好處?

  賦予企業資訊及客戶受託業務資源之安全,保護資訊化進程完善、有序、可持續發展,避免遭受內在或外來的威脅。當企業通過了ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套科學有效的管理體系作為保障。

滿足政府機關資通系統或服務委外業務之適法性要求

資通安全管理法施行細則第九條規定

委外辦理資通系統之建置、維運或資通服務之提供,選任及監督受託者時,應注意下列事項:
  • 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。
  • 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
  • 受託者業務得複委託之範圍與對象,應具備之資通安全維護措施。

個人資料保護法

第18條規定:公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

 

ISO27001 是資訊安全領域的管理系統標準,能夠有效保護企業的資訊資源安全,實施ISO 27001 認證的效益包括:
  • 通過 ISO 27001 驗證,能夠向政府機構證明企業對相關法律法規的符合性。
  1. 資通安全管理法
  2. 個人資料保護法
  • 增加政府機構標案取得的機會,提升資訊委外作業競爭優勢。
  • 輕鬆應對政府機關資通安全委外實地查核作業。
  • 改善企業業績、消除客戶不信任感,增進企業間電子商務往來的信用度,通過資訊安全管理的記錄可以看到資訊安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把企業的干擾因素降到最小,創造更大收益。

 

上市櫃公司應如何強化資安措施

 

金管會持續推動相關措施精進上市(櫃)公司資通安全管理(2024-03-05)
  • 上市(櫃)公司於發生重大資安事件時,應即時發布重大訊息及損失達一定金額應召開重大訊息記者會。
  • 自111年起應於年報敘明資安政策、具體管理方案、投入資安管理之資源、重大資安事件之損失與可能影響及因應措施等資訊。
  • 依資本額規模等分階段完成設置資安長、專責主管及人員。
  • 推動依風險等級分期加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)共享資安情資,以達資安聯合防禦之效能。
 
金管會要求實收資本額達 20 億元的上市櫃公司,必須編制和申報永續報告書,列出企業投入 ESG 的相關說明。
  • Environment/環境保護
  • Social/社會責任
  • Governance/公司治理:供應鏈的管理、系統化風險

資訊安全管理系統(ISMS)以國際資安標準ISO27001控制措施,協助組織建置完善供應商管理策略、鑑別組織資訊資產風險,並提供完整風險評估報告,掌控組織資安風險。

 

111年起上市櫃公司發生重大資安事件時,應揭露於重大訊息公告內。
  • 建立資安事件通報程序
  • 內部損失評估
  • 定期安全檢測
  • 永續經營資安與營運持續管裡:全面性的導入資安風險管理實務,不只能強化公司治理評鑑指標,亦能針對資安投資規劃適當的績效指標。

實施資訊安全ISMS、營運持續BCMS、個人資料保護PIMS等能強化組織的相關業務,將可進一步加強公司風險治理、將ESG指標納入考量,提升公司資安治理的效益。

 

公開發行公司建立內部控制制度處理準則
(左右拖曳查看表格內容)

上市(櫃)公司分級標準

資安單位人力編制要求

實施時程

第一級
•資本額100億元以上
•前一年底屬臺灣50指數成分公司
•藉電子方式媒介商品所有權移轉或提供服務者(如電子銷售平台、人力銀行等)其收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者
•指派人員兼任資安長
•設置資安專責單位(包含資安專責主管及至少2名資安專責人員)

111年底設置完成

第二級
•第一級以外的上市櫃公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。
•資安專責主管
•至少1名資安專責人員

112年底設置完成

第三級
•第一級以外的上市櫃公司,最近3年度有連續虧損,或最近年度每股淨值低於面額。
•至少1名資安專責人員

鼓勵設置

 

上市櫃公司其他相關資通安全法令法規與要求總覽。
  • 金融監督管理委員會
  1. 公開發行公司年報應行記載事項準則110/11/30
  2. 強化環境、社會及治理(下稱「ESG」)之資訊揭露(準則第10條)
  3. 強化資通安全管理之資訊揭露(準則第18、20條)
  4. 提升股東會年報資訊揭露時效(準則第23條)
  5. 上市上櫃公司資通安全管控指引-110/12/23
  6. 公開發行公司建立內部控制制度處理準則110/12/28
  • 行政院
  1. 資通安全管理法-107/6/6
  2. 資通安全管理法施行細則-110/8/3
  • 行政院法務部
  1. 個人資料保護法 – 104/12/30
  2. 個人資料保護法施行細則-105/3/2

上市櫃公司如何通過ISO27001認證?

  ISO 27001是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此,ISO 27001也提供所有類型的組織,包含商業企業、政府機構和非營利組織,都能建立資訊安全管理系統。

ISO 27001 資訊安全管理系統(Information Security Management System,ISMS),共包含2份標準:

  • ISO 27001《資訊安全管理系統:要求》(Information technology-Security techniques- Information security management systems- Requirements)
  • ISO 27002《資訊安全管理系統:指南、一般原則》(Information technology-Security techniques -- Code of practice for information security controls)

 

ISO27001建置及導入協助組織符合法規要求

(左右拖曳查看表格內容)

管控作業、
未來風險

A.5組織

(共37項指標)

A.6人員

(共8項指標)

A.7實體

(共14項指標)

A.8技術

(共34項指標)

符合有效

4大控制領域、
93項控制措施

 

ISO27001建制及導入流程

(左右拖曳查看表格內容)

1

召開專案

起始會議
  • 專案起始會議簡報資料
  • 現況需求分析與了解

2

瞭解與完成現況

需求分析
  • 保密切結書
  • 專案工作企畫書
  • 資安教育訓練計畫書

3

制訂資訊安全管理制度(ISMS)四階文件
  • ISO27001標準概述
  • 建置符合最新「國際ISO27001資訊安全管理制度」驗證要求之各項文件

4

資訊安全教育訓練
  • 資訊資產鑑別與風險評鑑作業(3H)
  • 內部稽核實務演練(3H)
  • ISO27001:2022條文釋義(含文件說明) (視需求增加)
  • 資通安全管理法法規面遵循概要(視需求增加)
  • 資通安全通識教育訓練(含電子郵件社交工程防治宣導(3H)

5

資產盤點與風險評鑑

作業輔導
  • 資訊資產鑑別
  • 資產風險評鑑作業

6

業務衝擊分析與

營運持續演練輔導
  • 營運衝擊分析表
  • 業務持續演練作業

7

資訊安全執行記錄查檢作業
  • 檢視各項四階表單執行情況
  • ISMS有效性量測表
  • ISMS資訊安全目標設定
  • ISMS組織全景評鑑表

8

利害關係者稽核&內部稽核 (非第三方稽核) 缺失改善、管理審查會議
  • ISMS內部稽核作業
  • 協助利害關係者之資訊安全稽核矯正預防作業
  • 協助召開資訊安全管理審查會議

9

第三方驗證稽核陪審作業
  • ISO27001:2022第三方初、續評驗證陪審

 

Stage1

準備訓練階段
  • 輔導初期準備
  • 資訊安全教育訓練

Stage2

制度修訂階段
  • ISMS文件制、修訂討論與發行
  • 執行資訊資產鑑別與風險評鑑作業

Stage3

制度實施階段
  • ISMS執行紀錄審查
  • ISMS文件修訂作業

Stage4

合理性稽查暨改善階段
  • ISMS內部稽核及缺失矯正預 防與持續改善
  • ISO27001外部稽核及缺失矯正預防與持續改善
  • BACK