從資安重訊發布標準看企業的挑戰

　　近年資安事件頻傳，儼然成為企業經營中不可忽視的重要課題，不僅推動政府部門重新檢視法規架構，也促使資本市場對於資安事件的揭露標準更加重視。臺灣證券交易所針對上市櫃公司是否揭露資安事件的標準曾進行多次修訂，顯示此議題已是牽動整體營運與信任基礎的關鍵一環。

---

為什麼政府這麼在意資安重訊揭露？

　　證交所與櫃買中心在2021年8月公告，更新上市櫃公司重大訊息之查證暨公開處理程序，將資通安全事件納入重訊發布的條件。2024年1月，證交所首次明確規範資安事件重大性的揭露標準，要求針對核心系統癱瘓、官網遭駭與機密資料外洩等情境發布重訊。2024年5月，再進一步放寬重大性的標準，只要事件有導致資料外洩之虞，即須發布重訊。2025年1月，主管機關再度調整，聚焦於「重要系統」與「大量資料」有外洩之虞，需發布重訊公告。

　　上述修訂過程不僅反映出重訊發布標準的逐步成熟，也呼應市場與社會對於資訊透明的期待。從重大個資外洩事件、勒索病毒攻擊，到駭客滲透供應鏈，都不再是少數產業或科技公司的風險，而是所有仰賴資訊系統運作的企業皆需面對的挑戰。

 

資安重訊揭露標準接軌全球

　　從國際發展的角度來看，臺灣的修法可視為回應國際監管趨勢的一環。美國證券交易委員會（SEC）於2023年修法，要求上市公司在發生重大資安事件後四個營業日內，須揭露相關資訊；歐盟則早在GDPR施行初期，即明確要求個資外洩須於72小時內向主管機關通報。對臺灣而言，修法除了提升資本市場與國際的接軌程度，亦能建立一套明確、可運作的標準框架，協助企業掌握應對原則，更是提升市場公信力與治理透明度的重要策略。除此之外，資安重訊揭露標準的制定不單是形式上的合規要求，更希望引導企業建立長期風險治理文化，強化對潛在威脅的預警、通報與溝通機制，進而增強整體產業與社會的資安韌性。

 

資安重訊從「揭不揭」到「怎麼揭」

　　隨著資安重訊發布標準框架明確化，企業面對資安事件時的反應也愈加受到考驗。舉例來說，標準調整後，資安重訊的揭露，取決於第一線的觀察回報、內部的溝通協調，以及應變紀錄能否完整重現事件脈絡。標準所要求的，是企業將風險事件迅速分類、有效評估影響，並於短時間內整合資訊，做出符合規範且具公信力的揭露。換句話說，資安重訊的發布是對企業運營體質與內部協作能力的整體測試。

 

從日常操作到跨部門合作，牽一髮而動全身

　　資安重訊發布的背後，連結著整體企業的風險管理脈絡。從前端發現異常、IT部門排查、法遵與公關同步討論重訊發布的內容，直到高階主管定調，每一步都須在時間壓力下迅速完成。這些流程在日常看似細碎，但在危機時刻卻能放大系統價值。換言之，一套可落實的資安重訊揭露標準，能反映出企業內部資訊流與協作流程的成熟度。

 

標準建立的不只合規，更是信任

　　雖然部分企業仍擔心揭露資安事件會帶來負面觀感，但更多案例顯示，誠實回應與妥善揭露，反而能在危機中累積信任。標準所要求的重訊揭露標準，實際上是一套協助企業管理風險、維持信任的工具。透過重訊揭露標準，建立共同的資訊理解框架，減少誤解與猜測，進而穩定外界信心。對企業而言，這也是展現對風險的理解、對社會的誠意，以及對標準的尊重。

　　未來資安重訊揭露的標準可能會隨著資安的態勢持續修訂，但所帶來的核心價值包含風險意識、資訊透明與組織韌性將不會改變。重訊揭露標準的存在，不僅為企業提供合規依據，更是提供公司全體員工參與風險治理與信任的具體方向。

 

*圖片來源：freepik

#