2021年12月28日增訂「公開發行公司建立內部控制制度處理準則」第9條之1,分三級到2023年以前需設置資安長。網址:https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.jsp&dataserno=202112230009&dtable=News
多年前在美國、香港就看到這個問題的重要性。2017年1月,美國公司董事會(NACD)與網際網址安全聯盟(ISA)共同發表NACD Director’s Handbook on Cyber-Risk Oversight,強調網址安全雖是企業風險,但董事會明顯有知識與監督之落差。網址:https://www.globenewswire.com/news-release/2017/01/12/905421/0/en/NACD-and-ISA-Issue-New-Cyber-Risk-Oversight-Guidance-for-Corporate-Directors.html
香港在2016年就發現,經理部門有檢視機制,但董事會並不重視,因而由基層、技術背景資安人員負責,難以向董事會溝通其風險對營運之衝擊。網址:https://www.scmp.com/tech/article/1946653/hong-kongs-corporate-culture-lags-behind-us-europe-cybersecurity
2017年我在TCGA以《董事會網絡治理機制之探討》為名,也調查了公司目前的作法與看法。當時有半數董事會沒有討論這個問題、七成公司也未向董事會報告。另外近七成公司未檢視網址風險議題、超過七成未設有專人向董事會報告網址風險事宜。
董事會和經營團隊需要更在意這個問題,尤其與資安負責人的溝通需要更順暢,不管有沒有遇過重大的資安攻擊,都要有明確報告程序及對應措施,因為資訊安全不是科技公司才會有的問題,現在哪個單位不上網、不收Email、不傳即時訊息?
沒有留言:
張貼留言