發生什麼事?
美中貿易戰爆發後,美'、日等國政府紛紛採取措施,鼓勵企業撤離中國,來自台灣、韓國和日本等投資大國的製造商正大批離開中國。單是 2020 年有 1,700 多家日本投資公司和製造商撤資。(Asia Times)
- 新冠疫情的影響下,全球許多企業考量到關稅及供應鏈斷鏈的風險,已經在評估或開始將生產基地分散至東南亞,使得東南亞成為「供應鏈的關鍵環節」。(Deloitte)
- 美國在 2020 年推出「去中化」的乾淨網路政策,期望在電信營運商、應用程式商店、應用程式、雲端儲存、海底電纜等五大領域上排除中方之參與,資安成為焦點。(工研院 IEK)
- 歐盟也在 2022 年 9 月公布資安韌性法案(Cyber Resilience Act)草案,所有進入歐盟市場的物聯網設備,從筆記型電腦到智慧冰箱,都必須遵照「安全始於設計」(security-by-design)原則,並訂定關鍵設備(critical products)資安規範,以落實「資安零信任」原則。若違反該草案,除將面臨巨額罰款外,還可能被迫退出歐洲市場。(財團法人電信技術中心)
上市櫃企業的資安揭露
以出口為主的台灣企業,長期位處複雜之政治地緣環境,數位轉型更加深了網路安全防護的複雜性。長期而言,企業領導者必須優先考量將網路資安防護納入每項業務裡,尤其是在國際供應鏈上扮演重要角色的上市櫃企業。
- 美國證券交易委員會(United States Securities and Exchange Commission, SEC)於 2022 年 3 月提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理,以及網路安全事件的揭露監管。其核心為要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊。(資策會科法所)
- 在台灣,也開始推動上市櫃公司揭露資安風險。證券暨期貨市場發展基金會在最新的公司治理評鑑中,包含公司網站或年報資安揭露。櫃買中心也指出,上市櫃公司企業社會責任報告書應參考每年全球永續性報告協會(Global Reporting Initiatives)發布的準則,在管理方針與其組成部分、客戶隱私揭露資訊安全內容。(證交所、櫃買中心)
未來該如何?
勤業眾信執行副總經理陳威棋與陳鴻棋建議,上市櫃企業在調整進入國際市場策略時,應注意各國產品與服務的資安標準,同時揭露資安佈局措施,完善企業內部控制與公司治理機制,具體作法如下:
- 資訊公開:企業在未來在年報中增加針對資安議題的管理或相關投資的資訊揭露,也要主動揭露更大的資安風險,讓外界了解企業資安佈局。
- 建立基礎資安建設,例如網路區隔、防毒軟體、網路防火牆、或是過濾機制。同時關注國際資安標準變化,例如供應鏈與特定產業資安標準,避免被退出市場。
- 在地緣政經發酵下,企業需針對各地資安法規擬定不同策略,例如歐盟的 GDPR、美國加州的 CCPA 規定等,這些法規可能影響進入市場。
企業在進入國際市場、完善資安佈局上,還有哪些需要注意的地方?一同透過《旭時報》與產業專家的訪談來了解。
