為強化公發公司資安管理機制,金管會擬依公司規模、財報表現等,明定3層級資安編制要求。金管會25日指出,符合第一層級,資本額達百億以上或前一年底是臺灣50指數成分的上市櫃公司,達到111家,應在明年底前設置資安長與資安專責單位。
針對《公開發行公司建立內部控制制度處理準則》修正草案,金管會表示,將依公司規模大小等條件分為3種層級,給予不同資安編制要求。
金管會說明,第一級的標準,包括資本額達新臺幣100億元以上公司、前一年底為臺灣50指數成分公司、藉電子方式銷售商品或提供服務收入,占最近年度營收達8成以上,或占最近兩年度營收逾5成者,例如:電子銷售平台、人力銀行等。
根據金管會統計,總計111家上市櫃公司符合第一級條件,應於2022年底前設置資安長、資安專責單位,該單位須有資安專責主管及至少2名資安專責人員。其中,目前有設置資安長共有49家、設有資安主管共83家、設有資安人員共87家。
至於第二級的標準,則是第一級以外的上市櫃公司,以及最近3年度稅前純益沒有連續虧損,且最近年度財報每股淨值未低於面額者,應於2023年底前設置資安專責主管及至少1名資安專責人員。儘管會表示,目前屬於第二級的上市櫃公司有1321家,其中630家已設資安主管、813家已設資安人員。
金管會指出,第三級則是第一級以外的上市櫃公司,且最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額。金管會鼓勵符合第三級的公司,可設置至少1名資安專責人員;統計目前屬於第三級的上市櫃公司有266家,其中132家已設資安人員、將近半數,但並未設有資安長或資安主管。
金管會表示,由於大型或從事電子商務的上市櫃公司,在資安防護方面日益受到重視,因此決議修法,配置適當資訊安全人力與設備,以逐步提升公司資安防護能力;草案將預告14天,盼能在年底前拍板法規,讓各公司及早因應準備。