《臺灣上市櫃資安新趨勢：內部控制制度革新探析》|臺灣證券交易所

近期，隨著網路攻防戰的演變，台灣已經進入了一個無煙硝的網路攻防時代。在這樣的背景下，企業對資訊治理的關注與日俱增，而上市上櫃公司更是將資通安全視為當務之急。根據最新的資訊顯示，2024年9月對「上市上櫃公司資通安全管控指引」的修訂，明確鼓勵企業導入ISO 27001標準，並評估通過美國註冊會計師協會（AICPA）SOC 2之Type 2合規報告，以強化內部控制與資訊治理。

臺灣證券交易所（證交所）與櫃買中心在2021年8月就已公告更新上市（櫃）公司重大訊息的查證暨公開處理程序，將資通安全事件明確納入重訊發布的條件。隨著2024年5月及7月的更新，對於資通安全事件的定義更加明確，包括資通系統、官方網站或內部文件檔案資料等，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊（DDoS）等情況，均需發布重大訊息。

勤業眾信的分析顯示，近三年內，台灣上市上櫃公司共揭露112件資安事件，其中網路攻擊事件佔最大宗，達42％。資料侵害事件，如疑似個資外洩、勒索軟體等，也佔36％。值得注意的是，2024年9至10月，親俄駭客團體NoName057對台灣發動大規模DDoS攻擊，使得DDoS攻擊比例上升至10％。

從時間軸來看，2024年的資安事件重大訊息數量已超過2022年與2023年的總合，並且自2023年11月起，資安事件數量就開始顯著上升。這一現象可能與上市櫃公司對揭露資安重大訊息的意願上升，以及整體遭受攻擊的比率增加有關。

至2024年11月底，重大訊息揭露的資安事件已達72件，顯示資安威脅的嚴峻性。不僅如此，資料外洩事件也越見頻繁，甚至已經影響到企業的正常運營。值得注意的是，當前資安重大訊息的發布僅限於事件的受害方，而供應商則無需發布，這一現象在2024年7月的CrowdStrike大規模藍白畫面事件中得到了體現。

面對資安威脅，企業建議進行內部控制制度的健康檢查，持續改善，並將永續與數位韌性設計融入內部控制制度，以應對新時代的挑戰。