上市柜资安 金管会四路防骇

去年爆发多家券商复委托遭骇客入侵，导致客户自动「被下单」买港股。也因此，金管会在「法规修正」上，完成「公开发行公司年报应行记载事项准则」、「公开发行公司建立内部控制制度处理准则」、「上市上柜公司资通安全管控指引」、「建立证券商资通安全检查机制」等相关法规修正及指引，提醒上市（柜）公司及证券商自2022年起应依相关规定办理。

在「建立内控及资通安全制度」上，金管会已请证交所修正公司治理评鑑指标，有完成导入国际资安标准并取得外部验证的上市柜公司，将在公司治理评鑑时加分。另外，证交所及柜买中心也已发布上市上柜公司资通安全管控指引，供上市柜公司参考。

金管会也要求，符合一定条件的证券商应指派副总经理以上或职责相当之人兼任资讯安全长。证券商并应依证交所资通安全检查机制分级防护应办事项，依期程导入国际资安标准并通过验证及办理系统渗透测试、资安健诊等强化资安防护措施。

「强化上市柜公司资通安全资讯公开」方面，金管会要求上市柜公司除应于股东会年报中叙明资通安全政策、具体管理方案及投入资通安全管理的资源等资讯外，如遇发生重大资通安全事件，应即时发布重大讯息说明发生缘由、可能损失、改善情形及因应措施，并于损失达一定金额以上时，召开重大讯息记者会说明，及于股东会年报中揭露所遭受损失、可能影响、因应措施等资讯。

在「鼓励情资分享」上，证券商若发生重大资安事件，应依规定进行通报及循F-ISAC情资分享管理办法分享资安情资，金管会并且已责成证券期货相关机构共同成立证券暨期货市场电脑紧急应变支援小组（SF-CERT），协助证券期货业者应变资安事件，亦鼓励上市（柜）公司加入TWCERT等资安资讯分享平台。