从资安重讯发布标准看企业的挑战

　　近年资安事件频传，俨然成为企业经营中不可忽视的重要课题，不仅推动政府部门重新检视法规架构，也促使资本市场对于资安事件的揭露标准更加重视。台湾证券交易所针对上市柜公司是否揭露资安事件的标准曾进行多次修订，显示此议题已是牵动整体营运与信任基础的关键一环。

---

为什么政府这么在意资安重讯揭露？

　　证交所与柜买中心在2021年8月公告，更新上市柜公司重大讯息之查证暨公开处理程序，将资通安全事件纳入重讯发布的条件。2024年1月，证交所首次明确规范资安事件重大性的揭露标准，要求针对核心系统瘫痪、官网遭骇与机密资料外洩等情境发布重讯。2024年5月，再进一步放宽重大性的标准，只要事件有导致资料外洩之虞，即须发布重讯。2025年1月，主管机关再度调整，聚焦于「重要系统」与「大量资料」有外洩之虞，需发布重讯公告。

　　上述修订过程不仅反映出重讯发布标准的逐步成熟，也唿应市场与社会对于资讯透明的期待。从重大个资外洩事件、勒索病毒攻击，到骇客渗透供应链，都不再是少数产业或科技公司的风险，而是所有仰赖资讯系统运作的企业皆需面对的挑战。

 

资安重讯揭露标准接轨全球

　　从国际发展的角度来看，台湾的修法可视为回应国际监管趋势的一环。美国证券交易委员会（SEC）于2023年修法，要求上市公司在发生重大资安事件后四个营业日内，须揭露相关资讯；欧盟则早在GDPR施行初期，即明确要求个资外洩须于72小时内向主管机关通报。对台湾而言，修法除了提升资本市场与国际的接轨程度，亦能建立一套明确、可运作的标准框架，协助企业掌握应对原则，更是提升市场公信力与治理透明度的重要策略。除此之外，资安重讯揭露标准的制定不单是形式上的合规要求，更希望引导企业建立长期风险治理文化，强化对潜在威胁的预警、通报与沟通机制，进而增强整体产业与社会的资安韧性。

 

资安重讯从「揭不揭」到「怎么揭」

　　随着资安重讯发布标准框架明确化，企业面对资安事件时的反应也愈加受到考验。举例来说，标准调整后，资安重讯的揭露，取决于第一线的观察回报、内部的沟通协调，以及应变纪录能否完整重现事件脉络。标准所要求的，是企业将风险事件迅速分类、有效评估影响，并于短时间内整合资讯，做出符合规范且具公信力的揭露。换句话说，资安重讯的发布是对企业运营体质与内部协作能力的整体测试。

 

从日常操作到跨部门合作，牵一髮而动全身

　　资安重讯发布的背后，连结着整体企业的风险管理脉络。从前端发现异常、IT部门排查、法遵与公关同步讨论重讯发布的内容，直到高阶主管定调，每一步都须在时间压力下迅速完成。这些流程在日常看似细碎，但在危机时刻却能放大系统价值。换言之，一套可落实的资安重讯揭露标准，能反映出企业内部资讯流与协作流程的成熟度。

 

标准建立的不只合规，更是信任

　　虽然部分企业仍担心揭露资安事件会带来负面观感，但更多案例显示，诚实回应与妥善揭露，反而能在危机中累积信任。标准所要求的重讯揭露标准，实际上是一套协助企业管理风险、维持信任的工具。透过重讯揭露标准，建立共同的资讯理解框架，减少误解与猜测，进而稳定外界信心。对企业而言，这也是展现对风险的理解、对社会的诚意，以及对标准的尊重。

　　未来资安重讯揭露的标准可能会随着资安的态势持续修订，但所带来的核心价值包含风险意识、资讯透明与组织韧性将不会改变。重讯揭露标准的存在，不仅为企业提供合规依据，更是提供公司全体员工参与风险治理与信任的具体方向。

 

*图片来源：freepik

#