《前言》

京站是日勝生的子公司，由於目前京站是在興櫃市場上，未來是要朝向上市的方向進行，加上它的產業類別貿易百貨業，所以除了可以作為興櫃股票的參考依據，也可以作為上市股票上市貿易百貨業的參考依據。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

1.機房管理
(1)機房採用雙迴路UPS 提供機房裝置電力供給，當市電斷電時，UPS 立即提供機房供電，並於特定時間後，主機即透過呼叫進行關閉，避免UPS 供電中斷所造成的軟硬體損害。UPS 並定期進行雙機輪流中斷電力測試與檢測，於特定時間後並做電池更換。
(2)空調系統配置三台，兩台輪流運作，另一台則全天候開啟，避免空調異常造成設備過熱所產生的異常，空調定期進行濾網更換及主機保養。
(3)機房設有環控裝置，除紅外線人員體知，另有溫溼度、防漏水及煙霧偵測，當達到監控閥值即報警，通知管理者進行處理。

2.伺服器管理
(1)除基礎磁碟陣列建立外，營運相關主要主機建立高可用性，降低硬體異常所造成的停機風險。關鍵主機並須設定異機複寫作業，降低因高可用性異常風險。
(2)伺服器除安裝防毒軟體及定期更新定義外，作業系統及資料庫亦須進行修補程式更新，另進行排程本地及異地存放備份作業，除產生作業結果報告並依表訂計畫進行災害還原演練。

3.個人電腦管理
(1)使用者得依照公司所頒布之電腦使用權限進行電腦作業。
(2)個人電腦除病毒更新作業外，另須根據公司所頒布之軟體安裝政策進行軟體安裝，相關作業系統及應用軟體更新則依循組織更新政策定期更新，相關作業並由資訊單位進行檢核與障礙排除。

4.網路安全管理
(1)網際網路服務採用不同提供者雙進線方式避免單點故障造成影響。
(2)防火牆相關防毒、防駭、防入侵等定義，根據組織策略定期更新，相關內對外、內對內、外對內等流量均須透過流量政策嚴格作業，確保系統受到保護。
(3)定期發送安全提醒宣導全體同仁，伺服器端並依照相關資安公告進行系統確認。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

《分析》：

上一篇我們看完日勝生在股東會年報當中所揭露的資通安全管理的部分，我們來看他的子公司京站對於資安揭露的情形，首先，京站未將『資通安全風險管理架構』列出來，所以我們無從得知該公司是否有落實公司治理的部分。

其次，京站主要揭露的部分是具體管理方案的部分，主要針對機房、伺服器、個人電腦以及網路安全四個面向的管理方式，除了基本的機房管理之外，其餘三個部分都採多重分散管理方式，例如伺服器採高可用性以及網路採用雙進線的方式管理。此外，就是京站的系統更新的部分是由資訊部門統一更新，而非自動更新的方式，並對流量進行管控，大致上，系統、網路、機房這幾個點的基礎面都有具體的說明，然而，京站並未提到是否有針對這些管理方案進行考核與評鑑，因此這也是需要加強的地方。此外，也未提及資安政策，這也是幾個未清楚揭露的地方。

不過，京站對於110年的資安事件，敘述上是有值得參考的，上列的表格是京站的股東會年報揭露的，京站對於資安事件所作的表格非常清楚的劃分三個大項目，同時，也針對病毒作了說明，尤其在影響及後續因應都有作了敘述，包括，在處理過程當中，『約10%資料夾被加密無法還原』，即使是未處理或者無法處理的部分，也是如實的交代清楚。尤其我們看3~5點說明後續的處理方式，跟之前看過案例相比較，很多公司並未對於這些狀況加說明，這是值得其他企業借鑑之處。