除了設立資安長，金管會還要求上市櫃公司採取哪些資安措施？

金管會對上市櫃公司的資安要求

除了設立資安長，金管會還要求上市櫃公司採取一系列資安措施，以強化整體資訊安全防護能力。這些措施旨在提升公司治理中資訊安全的重要性，並降低企業遭受駭客攻擊的風險。

設立資安專責單位與人員

金管會要求上市櫃公司設立資安專責單位，包含資安專責主管與資安專責人員。此舉旨在提升企業執行資安的獨立性，確保有專人負責規劃、執行與監督資訊安全相關工作。資安專責單位需具備足夠的資源與權力，以有效執行資安政策與措施。透過設立專責單位，企業能更有效地應對不斷變化的資安威脅，並提升整體資安防護能力。

強制設立資安長的背景與目的

金管會要求特定上市櫃公司設立資安長，主要目的是強化公司治理中資訊安全的重要性。隨著疫情加速各產業數位轉型，各產業與數位科技的關聯性日益緊密，資訊安全已成為企業營運不可或缺的一環。金管會在2021年底發布新版「公開發行公司建立內部控制制度處理準則」，要求資本額超過100億元或台灣50指數成分股的上市櫃公司設立資安長，並依公司規模配置一定比例的資安人員。

資安長的角色與職責

資安長（Chief Information Security Officer，CISO）負責企業組織資訊與資料的安全，與負責資訊科技（IT）及管理資訊系統（MIS）維運的資訊長（Chief Information Officer，CIO）不同。資訊長旨在推動資訊系統使用的便利性，而資安長則扮演「踩剎車」的角色，確保資訊安全。資安長的工作範圍涵蓋政策面與技術面，包括參照國際標準制定資安政策、導入資安管理系統，以及研究駭客攻擊手法、強化資安保護技術等。此外，資安長還需具備良好的跨部門溝通能力，以串聯各部門並提升員工的資安意識。