每到年報揭露季,上市櫃公司的財務、法務與 IT 部門就要面對同一個問題:今年的資安內控,揭露得夠不夠、做得夠不夠?2026 年這個問題更尖銳——金管會在 2025 年底密集出手,業界把多項措施整理成「資安六大新制」,從資安長(CISO)權責、零信任架構到軟體供應鏈安全(SBOM),每一項聽起來都像新的合規重擔。
但這裡藏著一個容易踩雷的認知落差:很多被冠上「上市櫃新制」的要求,其實是針對「金融機構」的;而真正對全體上市櫃公司有拘束力的,是另一套規範。 把金融業專屬的義務誤植到一般傳產、電子業上市櫃公司身上,輕則造成不必要的合規焦慮與預算浪費,重則因為抓錯重點,反而漏掉真正該補的內控缺口。
本文以「非金融業上市櫃公司」的視角,把規範框架一刀切清楚,並附上一份可勾選的合規落地清單。
先把 2026 上市櫃資安框架釐清:兩條軌道,不要混為一談
談 2026 上市櫃資安規範,第一件事不是急著導工具,而是先分清楚自己受哪一套規範拘束。目前市場上的「六大新制」說法,混合了兩條來源不同、拘束對象不同的軌道。
軌道一:對全體上市櫃公司有拘束力的「指引」
真正對一般上市櫃公司具拘束力的,是**「上市上櫃公司資通安全管控指引」。它的法律連結點在於:透過《公開發行公司建立內部控制制度處理準則》第 9 條,把資安管控納入公司的內部控制制度**。這條路徑很關鍵——它意味著資安不再只是 IT 的事,而是內控、是董事會層級的治理課題,揭露不實或內控失靈會牽動公司治理責任。
依據這套指引,上市櫃公司自 111 年(2022)起,就須在年報中敘明資安政策、管理方案、投入資源、重大資安事件造成的損失與影響。請注意:年報資安揭露是 2022 年起就存在的要求,不是 2026 的新規,別被「新制」二字誤導。
軌道二:主要針對「金融機構」的韌性藍圖
另一條軌道是金管會於 2025-12-30 發布的「金融資安韌性發展藍圖」。這是一個四年期、每季檢討的計畫,措施分階段落地。藍圖中許多廣被引用的措施——零信任由鼓勵轉為優先導入、API 安全基準、AI 系統安全防護指引、後量子密碼(PQC)遷移、供應商分級與委外責任範本——主要是針對「金融機構」,而非全體上市櫃公司。
換句話說,如果你是一家製造業或電子業的上市櫃公司,藍圖裡那些聽起來很硬的金融專屬指引,多數不是你的現行法定義務;它們是金融監理的方向,可作為資安成熟度的參考,但不該被當成你 2026 年必須立刻達標的清單。
合規誠信提醒:不要把金融業藍圖措施誤植為全體上市櫃義務。金管會官方藍圖新聞稿對零信任的原文用語是針對金融機構「持續推動高風險場域優先導入、漸進提升成熟度、評估納入資安基礎規範」——是「優先導入+評估納管」,並未出現白紙黑字的「強制」二字。「鼓勵轉強制」是媒體與顧問文的詮釋性標題。引用法規時,建議以全國法規資料庫與金管會原文核對最新版本,避免製造不必要的合規焦慮。
六大重點逐項拆解(標清楚誰該做)
把雜訊濾掉後,2026 對上市櫃/金融機構資安治理的核心,可歸納為下列六項。每一項我們都標清楚「對全體上市櫃」還是「主要對金融機構」,以及凱茂能補上哪一塊。
重點一:資安長(CISO)權責法定化
這是對治理層級影響最大的一項。資安長須每年向董事會報告前一年的資安執行情況,並簽署聲明書確保資安作業合規。法定報告有四大項目:
| 法定報告項目 | 內涵 |
|---|---|
| 資安計畫執行情形與變更 | 年度資安計畫做了什麼、有哪些調整 |
| 重大資安事件與改善措施 | 發生過哪些事件、如何處置與改善 |
| 當前資安風險評估與控制措施有效性 | 現有風險盤點、控制是否真的有效 |
| 資安預算運用與資源配置 | 預算花在哪、人力與資源如何配置 |
這四項報告骨架,等於是 CISO 向董事會交代的標準範本。對全體上市櫃而言,是否須設專責資安長取決於分級(見下節);無論是否設專責資安長,「資安議題升格為董事會層級治理課題」已是明確趨勢。
重點二:資安人力三級分級
依規模與風險,上市櫃公司被分為三級,各有不同的資安人力與時程要求。這是高信度、可直接引用的事實:
| 分級 | 適用條件(摘要) | 人力要求 | 期限 |
|---|---|---|---|
| 第一級(111 家) | 資本額 ≥ 100 億、或屬臺灣 50 指數成分、或電商收入占營收達門檻 | 設資安長 + 資安專責單位(專責主管 + 至少 2 名專責人員) | 2022 年底前 |
| 第二級(1,321 家) | 第一級以外、近三年稅前純益未連續虧損且每股淨值未低於面額 | 設資安專責主管 + 至少 1 名專責人員 | 2023 年底前 |
| 第三級(266 家) | 第一級以外、近三年連續虧損或每股淨值低於面額 | 至少 1 名專責人員 | 鼓勵設置、無時程表 |
時效提醒:第一級(2022 年底)、第二級(2023 年底)的人力設置期限都已截止。金管會曾要求 1,400 多家上市櫃公司設置專責資安單位,初期僅約 2 成達標。也就是說,這不是「即將上路」的規範,而是「應已完成」的義務——若貴公司至今仍未配齊,已是現存的合規缺口,建議優先補位。
重點三:零信任架構
零信任是金管會 2024-07 發布《金融業導入零信任架構參考指引》的核心,在 2025-12-30 藍圖中,針對金融機構由「鼓勵」轉為「優先導入、並評估納入基礎規範」。其核心是三階段驗證:身分鑑別、設備鑑別、信任推斷,並聚焦六大高風險場域(遠距辦公、雲端存取、系統營運管理、應用系統管理、服務供應商、跨機構協作)。
對一般上市櫃公司,零信任不是 2026 起的硬性法定義務,但「最小權限、預設不信任」的精神,正是上市櫃指引內控要落實的方向。導入零信任的細部架構(ZTNA、SASE、微分段、持續驗證),可參考我們的〈零信任架構完整解析〉。
重點四:軟體供應鏈安全與 SBOM
企業須建立 IT 供應商資安評鑑機制,並用數位工具盤點與管理軟體物料清單(SBOM),確保委外開發系統與開源軟體的漏洞可即時修補。SBOM 透過軟體成分分析(SCA)識別開源與第三方元件,並連結 CVE 漏洞庫或 CISA KEV 清單比對。指引也要求採購文件須載明 SLA、資安要求,以及對委外廠商的資安稽核權。供應鏈攻擊的防禦縱深,可延伸閱讀〈供應鏈攻擊防禦指南〉。
金管會規劃在藍圖四年期內陸續研訂「供應商分類與委外資安責任參考範本」「API 安全基準」「金融業 AI 系統安全防護指引」「金融業 PQC 遷移指引」等,但這些屬金融業範疇、多尚未定版,具體完成時點以官方後續公告為準,現階段應視為「規劃中」而非現行強制義務。
重點五:ISO 27001 等管理系統基礎
導入 ISO/IEC 27001 資訊安全管理系統(ISMS),是把上述各項要求制度化、可稽核的有效骨架——它提供風險評鑑、控制措施、內部稽核與持續改善的完整管理循環,與年報揭露、董事會報告天然契合。2022 版的條文變動與導入步驟,可參考〈ISO 27001:2022 導入實務〉。
重點六:罰則與重大訊息揭露
未落實資安內控、導致個資外洩或營運中斷時,可能觸發兩條不同的責任軌道,務必分清楚:
| 責任軌道 | 性質 | 上限 | 適用情境 |
|---|---|---|---|
| 《證券交易法》第 178 條 | 行政罰鍰 | 新臺幣 480 萬元 | 違反內控制度、帳簿備置、資訊揭露等列舉事項(屬法定上限,個案是否適用資安情境須認定) |
| 證交所/櫃買中心規則 | 違約金 | 新臺幣 500 萬元 | 發生重大資安事件未即時發布重大訊息 |
請注意這兩條的差別:480 萬是《證交法》§178 的法定行政罰上限(針對內控、揭露等列舉違規,個案是否恰好適用資安外洩情境須個案認定);500 萬則是針對未即時發重訊的違約金(非行政罰)。把這兩條並陳,比籠統說「違規最高罰幾百萬」精準得多。
與《資通安全管理法》的區別對照
很多人把上市櫃資安指引和《資通安全管理法》混為一談,這是常見錯誤。兩者分屬不同法源與主管機關,互不取代。SERP 上很少有人把這張對照表做清楚——但釐清它,正是判斷「我到底受哪套規範拘束」的關鍵。
| 比較項目 | 上市上櫃公司資通安全管控指引 | 資通安全管理法 |
|---|---|---|
| 主管機關 | 金管會/證交所/櫃買中心 | 數位發展部資通安全署 |
| 規範對象 | 一般上市櫃公司 | 公務機關 + 特定非公務機關(關鍵基礎設施提供者、公營事業、政府捐助財團法人) |
| 法律連結 | 透過內控處理準則第 9 條納入內部控制 | 直接法律納管,採 A~E 資安責任等級分級 |
| 核心機制 | 三級制資安人力 + 年報揭露 | 資安責任等級 + 通報應變義務 |
| 最新動態 | 113/9(2024-09)修正版落地中 | 2025-09-24 修正公布、2025-12-01 施行 |
結論:一般上市櫃公司原則上不受《資通安全管理法》直接納管,除非被指定為關鍵基礎設施提供者,或本身屬公營事業/政府捐助財團法人。關於《資安管理法》本身的條文變動,可參考〈2026 資通安全管理法解析〉;金融業特殊的法遵脈絡,則見〈金融業 IT 法遵合規〉。
合規落地檢核清單:六大重點,逐項對照
把規範拆解完,真正的價值在於「能不能勾」。下面這份清單,把六大重點轉成可執行的自評項目,並標出凱茂能協助補上的能力——不是賣平台,而是把缺口逐項補實。
- □ 治理層級:是否已設置(或依分級判定須設置)資安長?是否已有每年向董事會報告的機制與聲明書? → 凱茂可協助建立 PAM 特權存取治理,把 CISO 報告中的「存取控制有效性」變成可佐證的稽核軌跡。
- □ 資安人力:對照三級分級,人力配置是否到位?期限是否已逾期未補? → 人力有限時,可由凱茂提供 IT 維運監控與年度維運(SLA)服務,補上日常資安監看的量能。
- □ 年報揭露:資安政策、管理方案、投入資源、重大事件損失,是否在年報中完整敘明?
- □ 零信任:是否以最小權限、預設不信任為原則收斂存取?高風險場域(遠端、雲端、委外)是否優先處理? → 凱茂提供 ZTNA/SASE/EDR/XDR 部署與整合(資安網路解決方案)。
- □ 供應鏈與 SBOM:是否盤點軟體物料清單、有委外資安評鑑機制?採購文件是否載明 SLA 與稽核權?
- □ 監控與應變:是否有集中化的日誌監控與事件應變能力? → 凱茂可建置 SIEM/SOC 集中監控與威脅偵測。
- □ 管理系統與韌性:是否導入 ISMS、具備 BCP/DR 與備援能力,確保資料可復原、營運可持續? → 凱茂協助客戶導入 ISO 27001/ISO 42001(協助客戶導入,非凱茂自身持有認證),並提供企業儲存、備份與異地備援(DR)建置。
給非金融業上市櫃的務實建議:別被金融業的高標準綁架。先把「對全體上市櫃有拘束力」的三件事做扎實——人力配置符合分級、年報揭露完整、內控制度涵蓋資安——再依公司風險,把零信任、SBOM、SIEM 等措施分階段導入。合規不是一次到位,而是讓「架構先行、可被治理」成為制度。
結語:把合規從「應付檢查」變成「可被治理的架構」
2026 的上市櫃資安規範,本質上是把資安從 IT 的技術問題,正式拉升為董事會層級的治理責任。它的難點不在單一技術,而在於:你能不能在一片「六大新制」的雜訊中,準確判斷自己受哪套規範拘束、哪些是現行義務、哪些只是金融業的參考方向,然後把有限的資源投在真正該補的缺口上。
凱茂資訊(成立於 2009 年,台中在地、服務全台)長期協助企業把資安治理落地:從零信任(ZTNA/SASE/EDR/XDR)、SIEM/SOC 集中監控、PAM 特權存取治理,到企業儲存備份/DR、機房建置與年度維運(SLA),以及協助客戶導入 ISO 27001/42001(協助客戶導入,非凱茂自身持有認證)與 BCP/DR 規劃。原廠技術夥伴包含 Trend Micro、Nutanix、Acronis、WatchGuard。
如果你正準備這一輪的年報資安揭露,或不確定公司現在的資安內控落在哪個成熟度,歡迎與我們聊聊——從一次合規缺口盤點開始,把該補的破口逐項攤開、逐項補實。