本事故的訴訟進度為年報的重點。過去重大訴訟的摘要在訴訟現況分析詳細說明。在有關商譽減損上,Equifax指出陳述2017年事件造成客戶、利害關係人與客戶關係上的損害。他們的客戶與商業夥伴要求Equifax取得或重新取得資安認證,如ISO國際標準。
董監事監督職責
除了年報揭露重點,指南也建議董監事監督的方向:
1.企業應設資安負責人,向董監事說明年度資通安全風險管理計畫,並定期報告計畫進度與稽核結果。
2.董監事應評估其自身能力與專長,透過專家諮詢管道或聘請資安顧問,協助監督、審閱計畫與稽核成果。
3.透過系統性的資安管理框架或整合性內部作業流程,公司說明資安事故發生前、中、後採取何種適當的措施,以達到風險控管之成效。
台灣年報揭露現況
近三年,政府開始重視企業年報的資安揭露。2018年底,臺灣證券交易所公布「近期法規修正重點」簡報文件,鼓勵上市櫃公司揭露資安風險。2019年,證券暨期貨市場發展基金會在最新的公司治理評鑑包含公司網站或年報資安揭露。2020年,櫃買中心在社會責任報告書法規中強調,上市櫃公司企業社會責任報告書應每年參考全球永續性報告協會(Global Reporting Initiatives)發布之準則,在管理方針與其組成部分、客戶隱私揭露項目中含資訊安全內容。
相較於美國SEC年報指南的重點,臺灣證券交易所強調的揭露內容偏重於資安事故前的準備,僅以原則陳述事故後的處理,如已發生重大資安事件之影響及因應措施。這些都影響我國企業年報在揭露重大資安事故方向與內容。
從美國國家標準技術研究所(NIST)「網路安全管理架構」(CSF)到SEC年報指南在在顯示,美國展現推動全球產業標準與法規制度的決心。身為全球供應鏈的戰略性夥伴,我們宜超越資安即技術的思維,透過資安治理、風險控管與應變演練,實踐數位韌性的管理思維及與最佳實務。
*作者許毓仁為前立法委員 & 台灣玉山科技協會秘書長,共同作者吳明璋為資安風險管理治理暨數位韌性專家。
