《前言》

東捷資訊是一家上櫃且有提供資安服務的公司，去年12月與母公司東元的網頁，同時受到外部攻擊，所以來看看有做資安相關的資訊公司，年報的揭露狀況。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一)資通安全管理策略與架構
1. 資訊安全風險管理架構

2. 資訊安全治理制度

3. 具體管理方案
(1) 網路安全：持續更新防火牆設定、入侵防禦設定、及網頁信譽評等，並
導入網路偵測應用，進行封包側錄。郵件具掃毒及阻擋垃圾信件服務。
(2) 裝置安全：每台終端設備皆安裝防毒軟體。遠距辦公需求者，導入
SSL VPN工具，強化遠端工作的安全性。
(3) 系統管理：主要為權限管理。
(4) 供應鏈資訊安全。
(5) 資料安全保護。
(6) 教育訓練與宣導。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

4. 重大資通安全事件
本公司於110年12月20日部分資訊系統遭受駭客網路攻擊，偵測到部分資訊系統遭受駭客網路攻擊，資安部門已全面啟動相關防禦機制與備援作業，同時協調外部資安公司技術專家共同合作處置，於彙集完整異常資料後，通報政府執法部門與資安單位，並保持密切聯繫。查知網路異常狀態後，立即啟動資安防禦機制與備援回復，同時進行強化資安基礎架構、全面提升網路防護等級及保障資料安全性。

5. 資通安全風險與因應措施
(1) 防止惡意攻擊：
企業資訊安全包含防止電腦病毒、破壞性軟體、勒索軟體入侵，阻斷式服務攻擊等，以干擾公司的營運、甚至進行敲詐或勒索。其途徑包含取得電腦系統控制權，或窺探機密資訊等。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失；或需擔負龐大的費用實施補救和改進措施，以加強公司的網路安全系統。

(2) 縱深式防禦資安架構：
強化網路防火牆、入侵防禦偵測設備與網路分區控管，以防止威脅跨設備及跨區域擴散；同時依電腦類型建置端點防毒措施；再者，導入先進的解決方案以偵測與處理惡意威脅；其三，加強釣魚郵件防範宣導，強化員工郵件安全意識，以降低威脅及惡意攻擊所帶來的影響。

《攻擊事件簡述》：

根據報導，東捷資訊與母公司東元大概是同時間受到外部攻擊，主要是公司網頁會跳轉至ErrorPage的狀態。
（引用iThome：https://www.ithome.com.tw/news/148473）

《分析》：

東捷資訊主要有從事資安顧問服務的工作，所以很快的就匯集資料，並通報了主管機關，不過，還是不知道他到底是受到何種攻擊，母公司東元的股東會年報，對於資通安全管理，也僅揭露以下資訊。

筆者目前為止，檢視將110年度有遭受資安事件的公司，有關資通安全管理的揭漏情況，可以得到一個結論，就是：並未充分揭露，或者說根本不知道為何會受到外部攻擊，所以無法明確的敘明實際情況。

股東會年報是一個讓外部能夠了解公司政策的管道之一，我們可以看到有的公司就比較無所謂，大概就是等著參考別家的寫法，之後改進，僅有少數公司是很嚴謹的去面對資安事件，所以資通安全管理部分寫的就比較詳細。

大家會問，到底甚麼是充分揭露呢？

筆者從下一篇開始，還是會舉幾個比較嚴謹的金控業作為案例分享，並且簡述比較後差異重點，同時也會列舉出行政院的報告給大家參考。希望能夠對發行公司有所助益。

總之，我們其實不難發現，前述的這些案例中的這些公司是否真的投入，以及公司治理的嚴謹度，基本上，就單從資通管理部分，大概也可以判斷出公司對於公司資理的態度了! 如果這部分都做不好，那麼其他的部分，就不予置評了。