[專欄] <%:data.title%>

專題 <%:data.title%>

<%:~nl2br(data.summary)%>

<%:data.subtitle%>

<%:data.subtitle%>

#<%:prop.issue%>

<%:~formatDate(prop.online_date, 'YYYY MMM DD')%>

<%:prop.title%>
<%props prop.kols%>
<%:prop.realname%>
<%/props%>
<%if prop.column_id != 0 %> <%/if%> <%if prop.topic_id != 0 %> <%/if%>
<%:prop.realname%> <%:prop.realname%>
<%:prop.realname%>

<%:prop.realname%>

<%:prop.intro%>

add
新會員

<%:prop.email%>

add

上市櫃企業該如何完善資安治理,以利進入國際市場?

2023-01-16 10:30:00

圖片來源 - Mark Ko on Unsplash

questionquestion

上市櫃公司因對資本市場與國家經濟影響甚大,在面臨資安威脅時若稍有不慎,可能為利害關係人帶來重大損失,各國主管機關也如火如荼以法規與機制來建立產業的資安防護牆。台灣企業該如何應對?

發生什麼事?

美中貿易戰爆發後,美'、日等國政府紛紛採取措施,鼓勵企業撤離中國,來自台灣、韓國和日本等投資大國的製造商正大批離開中國。單是 2020 年有 1,700 多家日本投資公司和製造商撤資。(Asia Times

  • 新冠疫情的影響下,全球許多企業考量到關稅及供應鏈斷鏈的風險,已經在評估或開始將生產基地分散至東南亞,使得東南亞成為「供應鏈的關鍵環節」。(Deloitte
    • 新加坡成為外商企業進入東協市場主要入口國家,在網路攻擊威脅下,新加坡的資安佈局居於領先。(EDB
    • 2021 年新加坡更新網路安全戰略,更著墨於 OT 資安,透過與關鍵資訊基礎設施(Critical Information Infrastructure,CII)營運商合作,加強 OT 系統的網路安全,以降低因網路攻擊的經濟風險。(資安人
  • 美國在 2020 年推出「去中化」的乾淨網路政策,期望在電信營運商、應用程式商店、應用程式、雲端儲存、海底電纜等五大領域上排除中方之參與,資安成為焦點。(工研院 IEK
  • 歐盟也在 2022 年 9 月公布資安韌性法案(Cyber Resilience Act)草案,所有進入歐盟市場的物聯網設備,從筆記型電腦到智慧冰箱,都必須遵照「安全始於設計」(security-by-design)原則,並訂定關鍵設備(critical products)資安規範,以落實「資安零信任」原則。若違反該草案,除將面臨巨額罰款外,還可能被迫退出歐洲市場。(財團法人電信技術中心

 

上市櫃企業的資安揭露

以出口為主的台灣企業,長期位處複雜之政治地緣環境,數位轉型更加深了網路安全防護的複雜性。長期而言,企業領導者必須優先考量將網路資安防護納入每項業務裡,尤其是在國際供應鏈上扮演重要角色的上市櫃企業。

  • 美國證券交易委員會(United States Securities and Exchange Commission, SEC)於 2022 年 3 月提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理,以及網路安全事件的揭露監管。其核心為要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊。(資策會科法所
  • 在台灣,也開始推動上市櫃公司揭露資安風險。證券暨期貨市場發展基金會在最新的公司治理評鑑中,包含公司網站或年報資安揭露。櫃買中心也指出,上市櫃公司企業社會責任報告書應參考每年全球永續性報告協會(Global Reporting Initiatives)發布的準則,在管理方針與其組成部分、客戶隱私揭露資訊安全內容。(證交所櫃買中心

 

未來該如何?

勤業眾信執行副總經理陳威棋與陳鴻棋建議,上市櫃企業在調整進入國際市場策略時,應注意各國產品與服務的資安標準,同時揭露資安佈局措施,完善企業內部控制與公司治理機制,具體作法如下:

  • 資訊公開:企業在未來在年報中增加針對資安議題的管理或相關投資的資訊揭露,也要主動揭露更大的資安風險,讓外界了解企業資安佈局。
  • 建立基礎資安建設,例如網路區隔、防毒軟體、網路防火牆、或是過濾機制。同時關注國際資安標準變化,例如供應鏈與特定產業資安標準,避免被退出市場。
  • 在地緣政經發酵下,企業需針對各地資安法規擬定不同策略,例如歐盟的 GDPR、美國加州的 CCPA 規定等,這些法規可能影響進入市場。

企業在進入國際市場、完善資安佈局上,還有哪些需要注意的地方?一同透過《旭時報》與產業專家的訪談來了解。

蘇翰揚

蘇翰揚 / 特約記者

採訪寫作

陳卓君

陳卓君 / 副總編輯

審訂

深度對談

question
近期台灣證交所或櫃買中心都提出關於上市櫃企業資安政策,期望企業營運的同時也關注資安。您認為企業應該如何因應?

共 4 則對談

陳威棋

陳威棋

勤業眾信執行副總經理

因為這次主管機關針對上市櫃公司的資安管理大概有三個面向:第一個我覺得是蠻重要的,叫做資訊公開。也就是說未來在年報裡面,可能要增加一些針對資安管理或投資的相關資訊揭露,也要揭露一些更大的資安風險。

所以我覺得這塊是跟一般的投資大眾去做資安的陳述,到底企業現在資安做如何?執行過程中會遇什麼類型的科技風險?這是蠻大的一個改變的。另外假設有發生較重大的資安事件時,例如勒索軟體感染之類的事件而影響至公司營運的話,按照目前的規定,須針對重大訊息即時進行公布,就是跟社會大眾說明目前整體公司遇到的困境,這在資訊公開的面向也是很重要的一個改變。第二個面向...

2023-01-13 10:06:03
陳鴻棋

陳鴻棋

勤業眾信執行副總經理

其實最近政府陸續有很多資訊安全的要求,例如「公開發行公司建立內部控制制度處理準則」提到,企業應該要有設置資安長、與資安專責相關主管的要求。另外近期金管會公布「在金融資安行動方案 2.0」,也都有提到諸多相關資安要求構面,包括推動資安長的設置、建立針對數位身分驗證與鼓勵零信任網路部署等工作項目,或是組織的資訊安全管理部分。

建議企業在因應上可以從幾個層面來做考量,比如說法遵層面,因為未來在資安或隱私要求方面的法規會陸續一直出來,站在企業的角度,需要持續去性關注。在相關法規要求的前提下,我們怎麼如何去做有效的法令法規辨識,除了辨識之外,也包含需辨識組織內部的管理規範,又或是企業實際對應的作業流程,甚至是與留存軌跡的紀錄留存,是不是能佐證企業有符合最基本的法規規定。在管理面...

2023-01-13 10:05:47
question
企業要如何將資安、公司治理轉為競爭力?要面臨的挑戰有哪些?

共 4 則對談

陳威棋

陳威棋

勤業眾信執行副總經理

以前資安這個命題,大家都還是覺得他是一個成本、是一個投資,基本上看不出它的效益。但現在其實你會發現,大家在談公司治理、ESG 永續指標,是為公司形象加分的依據,可以讓投資法人或一般大眾看到企業價值。現在最有名的道瓊永續指數 DJSI,是由美國標準普爾道瓊指數公司(S&P Dow Jones indices)所推出的,主要在評比企業永續投資的指標。若在指標上面取得好成績,有可能入選成為 DJSI 的成分股,也代表企業在永續發展領域是很重要的...

2023-01-13 10:15:01
陳鴻棋

陳鴻棋

勤業眾信執行副總經理

上市櫃公司的年報裡面,都會登載資訊安全執行情形的說明,主要是讓投資大眾了解,組織投注的相關規劃和執行重點。另外,可以考量的是公司治理評鑑,台灣的公司治理評鑑也有針對資訊安全的構面,包括是否有資安政策、是否導入國際資訊安全標準及取得驗證等,這都是對應的展示。在國際上,一些國際永續指標也會把資訊安全項目納入評比標準,舉例來講,DJSI 就把資訊安全管理層級議題上報到董事會,或過往資訊安全事件發生情形,或有沒有針對資訊安全建立管理機制等,都列為必要的評分項目...

2023-01-13 10:28:49
question
重視資安對於公司治理的效益為何?有哪些國內外實例?

共 4 則對談

陳威棋

陳威棋

勤業眾信執行副總經理

國外除了最基本該做的控管外,現在很流行「成熟度」的評級。美國或是其他先進國家,以國家的力量推出成熟度框架及標準,例如資安在不同面向,怎麼樣做得好,有 0 至 5 級不同的級別。透過這樣的評分機制,可以有一些比較,知道內部怎麼爭取一些資安資源。甚至是產業或不同企業間有這樣的機制,對企業也好,了解目前發展是在哪裡,與未來主要的目標。成熟度的標準可能是依大企業或中小企業,可以做些不同的調整,各個產業也可以做不同的調整,這也是我們之後可以看的方向...

2023-01-13 10:43:33
陳鴻棋

陳鴻棋

勤業眾信執行副總經理

我覺得就國際實務可以從一個國際供應鏈角度來切入,包括最近大家看到的國際供應鏈資訊安全管理。為什麼要從供應鏈來探討?主要是這比較偏向是各個產業不同的標準,不論是台灣或是海外,都要做供應鏈安全管理的遵循。很多時候企業面臨到的是來自整個供應鏈的壓力,而供應鏈壓力又來自於國際趨勢,目前實務的一些作法可能要有所抉擇,要投入資源來加入這一個競合遊戲,又或者是要有一些適當的選擇,例如有些市場是否就要有所選擇或規避,去看會不會踩線或需要加入。我舉個例子,像是目前在資訊安全的事件,分析到最後可能發現,不僅僅是我們公司自己本身的問題,有時候可能整個產業鏈都會受到影響...

2023-01-13 10:55:18
question
近期因地緣政經議題正熱,政策上未來是否不只有商業考量,與資安、國防有所關聯?

共 3 則對談

陳威棋

陳威棋

勤業眾信執行副總經理

其實會,先不論歐盟,其實在台灣,就會感覺到企業基本上都沒辦法使用中國品牌的平台和資訊設備。現在談美國乾淨網路或其他歐盟,還是與中美貿易、地緣政治有關。撇開政治,這個方向是對的,也就是企業或國家面臨很多外銷產品,如歐盟也建立了相關法令,未來也會有一些標準法令,確保進來的產品都是安全的。網路、網通設備是很重要的關鍵設施,假如買來後發現裡面被植入一些後門程式,會造成蠻大的壓力。這就是現在要推整體產品安全,到供應鏈的安全,需要避免的存在風險。

2023-01-13 11:09:49
陳鴻棋

陳鴻棋

勤業眾信執行副總經理

目前國際上各大陣營都會考量供應鏈可能會牽涉到國安議題,所以整個供應鏈若都在對方的廠區製造的話,會不會被埋入一些後門或相關東西,會期待針對國防要求,應該要去做對等考量。台灣政府機關針對對岸相關品牌、安全設備、特殊 App,也都有一些禁限制使用的要求。站在企業的角度,我覺得這不是資訊安全就可以解決的議題,需要提升到企業的策略層級,包括說未來相關市場佈局、相關供應鏈要求,甚至整個產業的生態系,產業聚落等,可能都會有連帶影響。目前看來台灣廠商不只是要去選擇是要單押一邊,或是兩邊投注,或是特定廠商要求他上面的團隊、產線、資訊團隊系統都能區隔開來。我想未來企業的確會遇到愈來愈多這樣的議題。針對相關通訊、安全作業、傳輸、儲存,都會需要考量...

2023-01-13 11:15:47
question
台灣存在資安人才缺口,企業一方面要遵循法規,另一方面投資人也會關注,企業應該如何因應呢?

共 4 則對談

陳威棋

陳威棋

勤業眾信執行副總經理

目前企業在找資安人才,我們最有感覺,特別是資安部位。我們發現企業的資安資源是很吃緊的,在我們產業也很吃緊,全球或台灣現在都有很明顯的資安人才缺乏。要怎麼改變呢?大家都覺得要從根本做起,從一開始的教育體系,從整個和學校之間的科系增長,和在職訓練。我發現政府和民間企業都有相關合作,但人才培養需要一段時間,不可能馬上就培養出人才,這是一個持續短缺的現象,我覺得問題不好解,但是在一些公開場合有看到一些。

台灣畢竟還是 IT 大國,有很豐富的數位人才,但這類人才說實在,就像我有時回母校跟老師聊都發現,人才都被高科技、半導體的產業搶走。像我是中央的,雖然不是台政清交,但基本上畢業後都還是想去竹科,因為薪水蠻吸引人的。所以我覺得整個資安產業的薪資結構,針對資安的投入,還是一個根本的問題,但這也是我們面臨的挑戰,要怎麼樣讓這群人在這產業是可以適才適配,或有一些好的福利,這都是企業主該去思考的

2023-01-13 11:34:10
陳鴻棋

陳鴻棋

勤業眾信執行副總經理

是,我覺得這個部分可能可以搭配幾個議題來做探討。現在企業都在推動數位轉型,不管使用的 RPA 、AI,或雲端環境,就有機會把資訊單位的人力用工具化、更進步的方式管理。以前可能會需要比較多人員去做操作,或是相關執行面作業,未來是不是有機會自動化,變成由程式來執行?那這就可以釋出一部份人力,由資訊輔導他們轉成資安的人力,我想這是目前企業的方向。第二個方向...

2023-01-13 11:40:49

此次與談人

陳鴻棋

陳鴻棋

勤業眾信執行副總經理

陳威棋

陳威棋

勤業眾信執行副總經理

延伸閱讀

Twitter 資安吹哨、俄烏戰爭,ESG 公司治理有對策嗎?

Twitter 資安吹哨、俄烏戰爭,ESG 公司治理有對策嗎?

在資訊流通快速的時代,大眾已不只拿「放大鏡」檢視企業的一舉一動,而是用「顯微鏡」關注企業經營是否符合誠信原則。企業該如何實踐 ESG 中的根本 –「公司治理」?

2022-10-05 11:30:00

為何地緣局勢緊張,更凸顯製造業資安的重要性?

為何地緣局勢緊張,更凸顯製造業資安的重要性?

供應鏈一旦陷入混亂,將強烈衝擊人們的生活。從已發生的疫情到俄烏戰爭,到未來因地緣政治緊張引起的軍事封鎖,都可能讓供應鏈陷入混亂的狀況雪上加霜,成了駭客攻擊的最佳時機。製造業真的準備好應對這類資安攻擊了嗎?

2022-11-25 10:30:00

奧義智慧以 AI 強化台日企業資安,解決人才稀缺窘境

奧義智慧以 AI 強化台日企業資安,解決人才稀缺窘境

隨著資安事件頻傳、法規一聲令下,促使各行各業都必須設置資安部門,近五年來資安人才的需求至少成長 1.5 倍,產業出現搶人大戰。奧義智慧如何利用 AI 科技快速、自動化的優勢,強化企業資安防禦,同時解決資安人才稀缺的窘況?

2022-10-19 11:30:00

時間標記

EPEPISODE #旭沙龍-張育寧時間

EP #
邀請已成功寄出