強化市場資訊安全，「上市櫃資通安全指引」內容大公開，提升企業資安保障刻不容緩

為保障國內產業安全及永續經營，落實資安即國安的政策理念，政府於110年底要求證交所及櫃買中心成立上市櫃企業資安管理小組，擬定相關資安管理規範，協助上市櫃企業從組織及管理政策、技術培養及認知訓練三大面向進行全面資訊安全規劃，強化組織資訊保障及風險應變能力，避免網路駭客及病毒對企業的攻擊進而影響產業發展。

「上市上櫃公司資通安全管控指引」推動目標

由於近年國內外持續傳出許多大型組織和企業遭受資訊攻擊，例如石化能源公司遭到惡意軟體勒索綁架以及電子大廠受到病毒感染等事件，為避免類似事件再度發生影響產業及市場運作，金管會於2021年開始修正相關法令，除了加入多項管理措施及企業認知的訓練，並要求台灣證券交易所（證交所）及證券櫃檯買賣中心（櫃買中心）針對上市櫃公司資安環境進行改善及輔導，因此這個由證交所成立的「強化上市櫃資安措施任務小組」便應運而生，以推動企業資安保障及風險管理的目標作為服務宗旨。

對於資安小組後續所提出的應對措施，其中一大重點便是在2021年底提出的「上市上櫃公司資通安全管控指引」，參考至行政院「資通安全實地稽核項目檢核表」，針對上市櫃企業資安環境做了更全面的規劃，其內容涵蓋組織政策面、管理面及執行面等三大方向，提供上市櫃企業在資安規劃及風險管理時作為依據及參考，以符合政府最新資安管理準則。

「上市上櫃公司資通安全管控指引」內容摘要

透過本次發布的「上市上櫃公司資通安全管控指引」，能有效協助企業保護其資訊財產安全，證交所會依據上市櫃公司風險程度，分階段要求並協助企業落實相關資安規範，目前主要以資訊公開、公司治理及監理協助等三大面向來推動，未來也將逐步推動上市櫃公司加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)，以建立更完善的資安分享及交流環境。

如何落實「上市上櫃公司資通安全管控指引」？過程中可能遇到什麼問題？

提到資安管理，現行許多企業和組織雖已具備基礎資安防護，但有鑒於國際上資安風險逐漸提高，所受到的攻擊和損失日益加劇，原有的防火牆及防護系統已不足以應對未來的資安威脅，因此除了網路防火牆及防毒系統等基礎設施的升級，企業更應該由上到下，以管理階層為出發，從組織政策及管理方面著手改善，依循ISO27001等規範，完成相對應的安全防護建設。

由於ISO27001建置內容繁雜且涉及層面較廣，多數企業並無相關建設經驗，建議可以考慮引進外部專業資安團隊資源，透過實務經驗的導入及組織人員的完整培訓，可有效減緩資安部門的壓力並同步提升安全防護網的建制效率，並針對企業屬性進行風險評估，降低隱藏風險同時提升組織相關抗風險能力，打造最適合企業營運及操作的安全防護系統，在守護數位資產安全的同時提升企業運作效率，為產業和市場提供更完善的保護，才是實現企業永續經營的最佳路徑。

 

稽核輔導選擇橙言ISO顧問公司，帶領企業打通ISO認證之路。

與我們聯絡：