上市公司资安重讯发布「重大性标准」有新变化,关于这次新的规定,证交所是在5月28日宣布,他们表示日前已修订重大讯息问答集第26款,呼吁上市公司在发生资安事件时,应依规定评估造成损害或影响的范围,并切实依重讯处理程序发布重大讯息。至于柜买中心是否也会跟著修订,有待密切关注。
我们认为,放宽标准后,好处是让企业在发生资安事件时,对于是否发布重讯能有更容易判断的依据。从现在开始,不论企业是否清楚区别核心、机密,都要发布重大讯息。
而从资讯公开角度来看,此举将让投资人更清楚知道企业遭遇的资安问题,但是,日后资安事件重大讯息的数量与频率,也很有可能会有大幅增加的情况。
至于放宽标准后,未来是否可能造成另外的困扰,对于企业而言,像是企业自身判断属于较轻的1级、2级资安事件,也需依重大讯息规定揭露为重大资安事件,因此后续情形有待观察。对于主管机关而言,大小事件都揭露的好处是,可能让一些蛛丝马迹现形,但是否可能造成整体资安警报疲劳的问题,也还需要观察。
另外,对于这次重大性标准内容修订的变化,我们也询问证交所,试图了解是否有一些上市公司受骇却没有对外公布的情形,使得他们有此改变,他们仅表示,这次修订主要是资安事件与日俱增,希望让规范变得更清楚。
由于过去我们曾经看过不少例子,例如,在一些情资平台上发现有勒索软体组织宣称国内上市公司成为其受害者,并宣称窃取了多少资料,只是,这些公司并没有回应我们的询问,也没有发布重大讯息,使我们无法了解是否真的有此一事,是否不属于重大资安事件。如今,在这次修订之下,无论资安事件大小都将公诸于外界。