《前言》

中鴻鋼鐵是屬於傳統產業的企業，去年公司有公告發生資安事件的重訊，不過僅知道公司是備份的伺服器遭受外部攻擊，傳產雖然不如電子、資訊、金融等產業這般受到重視，但是，也就是這樣，中鴻的案例才能給傳產一個警示，以及變成一個重要的案例分享，所以，這是一個很重要的產業案例。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一)資通安全風險管理架構、資通安全政策、具體管理方案極投入資通安全管理之資源，均以提高資通穩定安全為指導方針。

1.資通安全風險管理架構

設立『資訊安全委員會』，下轄四組，統籌資訊安全極保互相關政策制定、執行、風險管理與遵循度查核，每季由召集人召開會議檢討執行情形，如召集人不能出習由副召集人(召集人指派)，每年定期向董事會報告執行情形。

2.資通安全政策
(1)資訊安全管理策略與架構 ：主要分成『目的』、『範圍』、『目標』、『策略』與『審查』五項。
(2)資訊安全風險管理與持續改善架構

(3)具體管理方案

(4)投入資通安全管理之資源
110年推動執行的成果：
A. 召開兩次資安委員會議。
B. 購入資安產品。
C. 各廠區IT與OT網段間以防火牆設備區隔建置。
D. 實際查核情況。
E. 安全宣導。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

中鴻公司於110年10月27日，輔助性伺服器遭受病毒攻擊，公司已於第一時間啟動資安防禦，並對網路攻擊進行檢查，亦同步持續檢視並強化現有的基礎架構，全面提升網路安全，以保護資料安全及完整性，該次資通安全事件對公司生產、銷售及日常營運未受影響。

《分析》：

鋼鐵業是比較屬於傳統的產業，基本上就政策來說，公司強調『提高穩定安全』的方向是沒錯的，只不過，網路攻擊是不可能給企業有任何機會穩定與安全的，所謂提高穩定安全，是針對公司內部使用者而言的，並非具有外部資通管理效益。

其次，在資通安全管理架構內，提出了代理人制度，這是有必要的，也是非常好的作法，但是組織圖底下四個具有代理人資格的副召集人，雖然都與資通安全相關，這些人的資格條件，如何審視及規定，以及是否有送交董事會或審計委員會作資格審查，這在內容當中並未說明，當然，如果在發生資通安全事件時，可是沒有任何差別的攻擊，因此，每個資訊安全委員會的成員，其實都得要隨時待命，並在要緊時刻，解決問題，所以前期的資格審查就要審慎，免得發生事情時的慌亂。

接著再來看具體管理方案，電腦防毒資訊的問題，公司政策似乎是自動更新病毒碼，不過，有的公司因為考量到頻寬的問題，所以，不少是由Server端來統一進行更新的，並且透過網段區隔來更新。從中鴻的內容來看，中鴻的方式是採用自動更新的方式，應該屬於統一由伺服器一起更新，而不區分網段，但是如果當中有員工的電腦已經中毒，就會出現全部公司都被感染。這也是公司需要注意的地方之一。

最後，110年發生的資安事件，從描述中，看到的是輔助性的伺服器受到攻擊，所以是備份用的伺服器受到入侵，但是看敘述似乎也不知道是何種方式進行攻擊，這也就是今年度股東會年報揭露的資通事件最大的問題，大家都霧裡看花，並沒有交代清楚，外部新聞詢問公司，公司也僅交代公司未有損失，似乎也不太願意或者根本不曉得是甚麼樣的攻擊，因此，未來法令是否要再修正，就看立法單位對於資安揭露是否增列後續追蹤及處理的機制了。