《前言》

宏碁在股東會年報上面所揭露的資通安全管理，可以作為其他家上市櫃公司參考的範本，尤其他們有關於資安的揭露，是將資安涵蓋到風控裡面，加上公司輔以簡圖的方式，架構非常完整，其中有關資安事件，更往前追述之前所遇到的資安問題，同時，也針對這些問題，提出解決方案，故可以做為各家公發公司之參考範本。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

一、資通安全風險管理架構：

二、資通安全政策：（分四部分）
(1)企業資訊安全管理策略與架構：
1.每2週開ISMS （Information Security Management System, ISMS) 例行會議。
2.每年透過內部與外部稽核，確保執行狀況符合規範，維護重要資產的機密性、完整性及可用性。
3.持續更新ISO/IEC 27001。
4.參考 NIST Cybersecurity Framework ( CSF) 資安框架，加強多層資安防護。

(2) 企業資訊安全風險管理與持續改善架構

(3) 具體管理方案

評鑑結果為B。

(4) 投入資通安全管理之資源

二、資通安全風險與因應措施：

• 過去及現在解決方式：
  公司過去曾經因WFH同仁誤點釣魚郵件而遭受勒索軟體攻擊，未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害，公司落實相關改進措施並持續優化，例如: 惡意郵件過濾機制，以減少釣魚郵件進入同仁郵箱；強化網路防火牆與網路控管，以防止惡意軟體橫向跨區擴散；特權帳號多層次管控，以防止盜用；導入先進解決方案，進行合規機器的查核；導入新技術以偵測與處理惡意軟體；定期執行系統弱點掃描與修復和員工警覺性測試。
• 未來：
  1.客戶資料不外洩，透過多層防護。
  2.加強整體資安防禦與監控機制，並全面部署端點偵測及回應軟體，確保異常行為的可視性。
  3.內部系統區隔化，各地區系統與總部資料中心採網路零信任架構，及強化資訊系統營運持續演練。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

我們依照宏碁年報重大資通安全事件所揭露，整理如下：

《攻擊事件簡述》：

根據新聞報導，宏碁在去年三月分遭受攻擊主因為微軟郵件伺服器Exchange server要更新漏洞，而在公告更新的空檔，駭客組織REvil趁機展開攻擊，宏碁公司也通報多國執法及資訊保護機關，並拒絕了對方的勒索。

到了十月，另一個駭客組織Desorden又對宏碁進行了兩次攻擊，分別是印度子公司及台灣總公司，這次主要是因為宏碁在保護數據的網路安全遠遠不足之故，所以印度的售後服務系統先被獨立攻擊，接著又攻擊台灣總公司，宏碁一樣就是通報印度當地執法機關及有關政府單位，並表示台灣則未受此次攻擊影響。

《分析》：

由於宏碁本身是資訊相關產業，在台灣是個指標性企業，尤其還設立了一家資安子公司--安碁資訊，由此可知，公司也對資安這塊極為重視。因此，相對的在本年度的資通安全管理上，也描述的分常清晰，條理分明，如前言所說，是可以做為各家企業的標準範本。

另外，就組織上來看，宏碁目前還未設資安長，所以將資安的部分，就交由風管裡委員會來負責，但是，宏碁的風控有分成約11個項目，其中包含資安、匯率、勞動力、供應鏈等等，並做出風險分級，只不過，過於多項的分類，在對董事會及審計委員會報告時，可能會失焦，再者，就公司最高層級，董事會及審計委會成員裡，僅有一位獨董有資安專業背景，就一家資訊公司來說，就顯得比較薄弱。

另外，在股東會年報上，宏碁也有做出評鑑以及對過去、現在、未來的政策及具體作為，作出很明確揭露，同時也強調公司無法保證，絕對能夠不受外部侵擾。此外，也在風險管裡上，區分出三道防線，基本上，對於公發公司而言，是具有很高的參考的價值。

筆者認為，我們常說生於憂患，而死於安樂，宏碁無可避免的一定每天遭受數以萬計的攻擊，雖然如此，但將這些經驗累積下來，將來勢必能夠發展出對應的監控軟體，並可以做出適當反擊的。

我國的資安，目前大部分是處於防禦的型態，因為宏碁本身是資訊相關產業，因此，是相對比較積極在發展這部分的公司，甚至將來或許可能自行發展出相應的監測及反制的軟硬體。只不過，一般產業可不見得就是有如此的條件，當然，由領頭羊的企業來發展資安，並與各大企業加強合作的方式，也是可以做為資安發展的方向之一。