《前言》：

筆者在今年第一季開始，就陸續被朋友問道股東會年報所要揭露的資通安全的部分，應該要怎麼寫？所以我就看了一下法令，大概就是下面兩條法令，但是，這兩條法令其實要在股東會年報上面完整的揭露，其實難度很高。

後來，我陸續拜讀了幾家公司的股東會年報之後，我看到不少公司，基本上只是應付主管機關的，並沒有很認真在寫(或者根本不知道怎麼寫)，不過，指標性的企業，有的還是寫得很有水準，之後，筆者也會在後面的案例中說明。

只不過，近期因為美國眾議院議長裴洛西來台拜訪的關係，卻意外的看到許多資安事件，突然跑了出來，譬如說台鐵大廳的電子看板，被入侵及竄改，我們單就網路攻擊來說，老實說，對岸並沒有發動真的攻擊，可是其實警告意味濃厚，如果真的發動網攻，那麼筆者認為下場可能不是只有今天這樣了。

從這件事情往下思考，台灣的企業可是台灣的經濟命脈來源，大家也心知肚明，台灣的大部分企業也並沒有很認真在思考資安這個問題，如果從筆者今年度看到股東會年報的內容，我覺得如果真的被攻擊，那麼台灣可能很快的各大企業就會開始被一個一個攻陷，那麼下場可是會如焦土一般的慘烈，所有企業的經濟活動都應該會癱瘓!

講了這些，不是要製造恐慌，而是希望大家有所警覺，同時，也冀望公開發行公司能夠當作領頭羊，至少這些屬於台灣經濟命脈的領頭羊，如果真的出現任何狀況時，能夠盡量守住，並減低損失了...

以下開始正式進入主題：

> 《法源依據》：
> 
> 公開發行公司年報應行記載是項準則：
> 
> 第 18 條
> 六、資通安全管理：
> （一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
> （二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。
> 
> 第 20 條
> 公司應就財務狀況及財務績效加以檢討分析，並評估風險事項，其應記載事項如下：
> 六、風險事項應分析評估最近年度及截至年報刊印日止之下列事項：
> （五）科技改變（包括資通安全風險）及產業變化對公司財務業務之影響及因應措施。

2022年開始，公開發行公司(以下簡稱公發公司)必須要將2021年的資通安全揭露到股東會年報上，讓公司的股東能夠知道過往一年之內，公司有發生那些資安事件，以及目前在資通安全上，公司的執行狀況。筆者在今年年初的時候，過去在公發公司任職的一些前同事，向筆者詢問相關問題，對這部份都非常的頭痛，理由之一，便是沒有相關資安的知識，無從下筆，就算由資安的執行單位來寫，大部份也不知道到底該揭露到何種程度，才算充分揭露？

此外，也有針對公司治理方面的問題，提出相關的疑問，例如，是否資安相關議案要提到審計委員會上？等等，諸如這類公司治理的問題，也讓大部分撰寫本年度的股東會年報的單位困擾不已。

再來，就是針對政策及投入資源的部分，很多一般公發公司由於並未達到一定的規模，所以基本上都是將資安外包居多，因此在這兩方面，大部分都寫的比較籠統一些，而有些資本額較大的上市櫃公司，大部分揭露的狀況，就是過往一年之內，曾經參與哪些資安會議，或者說新增多少管理規定，但很重要的是，資安是需要推行至全公司，然而，很多都只揭露到管理階層，而非推行到全公司，所以在某些方面就變成管理階層在努力開會，然而，整體推行狀況就付之闕如。

最後，就是最近年度資通安全事件的揭露，大部分都以公開資訊觀測站上有無公佈重大訊息為主，然而，金管會的裁罰事項是否要列入呢？這也是值得討論的一點。此外，就是針對重大性資安事件揭露的說明，很多並未清楚的列示及說明，反而是外面的新聞所分析的內容比公司揭露的更佳詳細，因此，到底要略為帶過，還是要將重點及解決辦法列出呢？這都是值得討論的部分。

綜合以上幾個觀點，筆者將在這三十天內將所遇到的問題及分析，透過案例分享，在鐵人賽作分享，也希望大家能對於一般的公發公司資安的揭露有更深一層的了解。