金管會於2021年12月28日修正「公開發行公司建立內部控制制度處理準則」,要求資本額100億元以上、前一年底屬臺灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市(櫃)公司,須於2022年底前指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少2名資訊安全專責人員);其餘上市櫃公司(除最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者外),應於2023年底前配置資訊安全專責主管及至少1名資訊安全專責人員。
可見主管機關相當重視資訊安全事宜。
2024年五月時我在公開資訊觀測站到看到,有10家上市櫃公司設有資訊安全委員會,佔所有上市櫃公司比例不到1%。從產業別來看,有電機機械、電器電纜、造紙工業、半導體業、光電業、電子零組件業、電子通路業、資訊服務業、航運業、貿易百貨。從資本額來看,這10家公司平均資本額為28億元,較全上市櫃公司平均46億元小。從成立年數來看,平均成立3年左右,以2020年成立的公司較多,成立最久的是12年。
為更瞭解這些委員會的運作情形與揭露狀況,我依「永續發展委員會網站揭露的觀測」的目的和作法,對這10家公司網站上「公司治理」專區進行觀測,經統整後發現:委員會平均為3席,以獨立董事為多數(平均佔比為80%),且召集人都是獨立董事。有揭露委員會組織規程者佔60%、有揭露職權範圍者佔70%、有揭露出席狀況者佔60%、有揭露會議議程與重大決議者佔20%,有揭露決議後續處理說明者佔10%。
(2)網路安全委員會應向董事會報告什麼?
在2022年7月,有一篇„What Should the Cyber Security Committees Report to the Boards of Directors?“談討了網路安全委員會向董事會報告的文章。
Gartner預估到2025年以前,會有40%的董事會將設置專屬的網路安全委員會,而且由資格充足的董事予以監督。
董事會審視組織的風險辨識、評估、管理、監督及報導程序之適當性。網路安全與風險管理有關。因此董事會視網路安全為營運風險、加以注意,這是很合理的。
董事會在網路安全風險監督上,會更依賴功能性委員會扮演重要的角色。這包括確保將組織文化連結到其風險胃納、目的與策略;以及發展和支持組織的韌性,包括健全的危機管理能力。
網路安全委員會要向董事會報告以下事宜:
*風險評級已改變:董事會想知道在報告期內評級有變的風險,特別是由低到高。他們要提出一份控制、減緩與處置的計畫,供董事會核准。
*新興風險:其他要報告董事會的重大風險包括「新興風險」。就是由社會、經濟、政治與疫情帶來的新風險,比如俄烏戰爭、因疫情而產生的快速數位轉型、在家工作的安排以及法規修訂。
*查核控制、減緩與處置:網路安全委員會要向董事會更新的另一關鍵問題,是對現有高風險的控制、減緩與處置活動之狀況,以降低其程度(可能性與衝擊)到中度或低度。另外委員會還需要報告當控制、減緩與處置活動未能阻止威脅並引發事故時要優先採取行動,以平衡保護及經營企業的需求
*更新網路安全計畫:另一個要向董事會溝通的重要事項是網路安全計畫的狀況。這些計畫是董事會已核准,並提供資金來控制、減緩與處置風險並降低其程度(可能性與衝擊)。
*具安全意識的公司文化的指標:每個組織都應建立一個安全意識的文化,以降低由人為活動引起的網路安全事故。向董事會報告這些指標-衡量和網路安全有關的員工行為,這是很重要的。
*對董事會有效溝通:
●列出問題:用說故事的方式教育董事會事情怎麼發生的,以及陳述目前狀況的限制
●定義方案的目標與指標:董事會不知到好、壞意味什麼。因此確定想達成的狀況圖像,並描述成功為何。
●擬定選項:協助董事會需瞭解哪些決定。透過關注於業務取捨,共同創造一個策略故事。
●評估選項:協助董事會瞭解關於企業能力、資金與公司策略的選項,選出最佳的選項,並提供所需的方向及資金。
沒有留言:
張貼留言