企業經營可比喻成「開車」,「踩油門」以拓展業務、提升工作效率、營利賺錢固然重要,而「踩煞車」以遵守法令規章、進行風險控管、防免損害也應兼顧。資安就類似踩煞車的作用,企業駕駛者應步步為營,方得以迅捷且平安抵達目的地。
被金管會列為第一級的上市櫃公司要注意了!今年(2022)年底前要設置資安長(CISO),以綜理企業資安制度的規劃、執行及監控。
面對台海局勢緊張以及沒有煙硝的資訊戰,沒有人是局外人。政府推動「資安即國安」的觀念,希望各級機關、企業及民眾都能重視資安。就像國安需要萬安演習,企業資安也需要有計畫的演習以落實內控,此有賴專業人士如資安長來督導。企業經營可比喻成「開車」,「踩油門」以拓展業務、提升工作效率、營利賺錢固然重要,而「踩煞車」以遵守法令規章、進行風險控管、防免損害也應兼顧。資安就類似踩煞車的作用,企業駕駛者應步步為營,方得以迅捷且平安抵達目的地。
「能力越大,責任越大」是電影《蜘蛛人》的經典台詞,也是企業管制背後的考量因素。初創公司創業維艱受限於能力及資源不足,難以有效落實資安。然而在野蠻生長而汰弱留強後,就更不容輕忽資安的重要性。國家法律對於大公司的管制相對嚴格,要求應具備內控制度以進行風險管理。證券交易法即對公開發行公司與上市櫃公司訂有較一般公司要求更高的規範。日常生活中耳熟能詳的品牌企業以及常接觸使用的電子商務平台大多是上市櫃公司,其資安的建置與實施相當重要,也受到高度管制。
分級分段循序漸進
金管會為強化公開發行公司資訊安全管理機制,於2021年12月28日增訂發布「公開發行公司建立內部控制制度處理準則」(簡稱:內控處理準則)第9條之1。依該條規定,公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者,金管會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員。
金管會採取循序漸進的方式推動資安長,先針對上市櫃公司,並且規定應配置資訊安全人力之一定條件,採分級分階段辦理,如表1所示。
內控三防線資安維護也很重要
為健全公司治理,國家法制對於公開發行公司與金融業者均有要求建立內部控制制度,目的在於促進企業健全經營,以合理確保營運之效果及效率、財務報導之可靠性,以及相關法令規章之遵循等目標的達成。內部控制有三道防線,第一道防線是自行查核,第二道防線是法令遵循與風險管理,第三道防線是內部稽核。為使內部控制制度能有效及適當地運作,由第一道、第二道防線進行風險監控,第三道防線進行獨立監督,三道防線各司其職。
資安維護也是企業內控制度的重要一環,體現在內控處理準則第9條規定,亦即公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業:1.資訊處理部門之功能及職責劃分、2.系統開發及程式修改之控制、3.編製系統文書之控制、4.程式及資料之存取控制、5.資料輸出入之控制、6.資料處理之控制、7.檔案及設備之安全控制、8.硬體及系統軟體之購置、使用及維護之控制、9.系統復原計畫制度及測試程序之控制、10.資通安全檢查之控制、11.向金管會指定網站進行公開資訊申報相關作業之控制。
值得注意的是,為協助上市櫃公司強化資通安全防護及管理機制,並符合前述內控處理準則第9條的規定,證交所於2021年12月23日發布「上市上櫃公司資通安全管控指引」(簡稱資通安全管控指引),規範重點包括:1.資通安全政策及推動組織、2.核心業務及其重要性、3.資通系統盤點及風險評估、4.資通系統發展及維護安全、5.資通安全防護及控制措施、6.資通系統或資通服務委外辦理之管理措施、7.資通安全事件通報應變及情資評估因應、8.資通安全之持續精進及績效管理機制等。
以資安防護控制措施為例,資通安全管控指引第18條即規定應具備以下措施:
1.防毒軟體、2.網路防火牆、3.如有郵件伺服器者,具備電子郵件過濾機制、4.入侵偵測及防禦機制、5如有對外服務之核心資通系統者,具備應用程式防火牆、6.進階持續性威脅攻擊防禦措施、7.資通安全威脅偵測管理機制(SOC)。
人員須具專業能力 避免衍生法律責任
內控制度不能流於形式或文書作業,企業應確保其配置人員具備所從事工作及有危險防範之專業能力,以免衍生法律責任。實務上認為:法人亦適用民法第184條侵權行為規定(參見最高法院108年度台上字第2035號民事判決);而法人責任則建立在往來交易安全義務及組織義務。關於往來交易安全方面,法人從事各種社會經濟活動,應有防範其所開啟或持續之危險致侵害他人權利之義務;在組織上,法人應確保其配置之人員須具備所從事工作及危險防範之專業能力,如有不符專業之作為或不作為,即屬組織欠缺而有過失,對侵害他人權利之結果,應負侵權行為損害賠償責任(參見最高法院108年度台上字第1499號民事判決)。
所謂「徒法不足以自行」,資安的內控規定就像交通規則,尚有賴駕駛遵守落實以有效防範資安事件。資安長就像CEO的左右手,其建置已是大勢所趨且將由上市櫃公司優先採行。大企業帶頭率先做好資安,其他企業也要跟得上,以期「資安萬安」!
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>