《前言》

由於金融業的股東會年報與一般產業規定的格式有些不太一樣，但還資通安全管理還是必須揭露的事項，會舉幾個案例，作為比較之用，如果大家有興趣，的確可以參考金控所寫的內容，因為金控還是比較屬於高標且有系統的資安管理。

因為金融業股東會年報有專法的規定，法令依據如下：

金融控股公司年報應行記載事項準則：

第 18 條
營運概況應記載金融控股公司及其子公司下列事項：

七、資訊設備：主要資訊系統硬體、軟體之配置及維護、未來開發或購置計畫及緊急備援與安全防護措施。

八、資通安全管理：
（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

主要是第十八條第八項，但因為第十八條第七項『資訊設備』的部分，有提到『緊急備援與安全防護措施』，所以在此部分金控就得要把緊急備援與安全防互相關設備列出，因此，在此把第七項的法令規定特別列出。

我們先簡單的看過上述兩項揭露的狀況：(筆者覺得重要的部分)

七、資訊設備：主要資訊系統硬體、軟體之配置及維護、未來開發或購置計畫及緊急備援與安全防護措施。

(3) 治理機制建立
建立資料治理平台，透過品質檢核程式及品質議題分派流程系統，以提升作業效率並確保資料標準及品質檢核的有效施行。

(4) 緊急備援防護措施
資訊系統架構依其風險等級建立高可用性之同異地主機備援及資料備份機制，並將備份媒體送往異地保管存放，以達成服務不中斷及重要資料不遺失之要求。加強機房各項模擬測試與緊急應變等演練以保障資訊系統正常運作，可降低無預警之天災及人為疏失造成之系統中斷風險，確保各項重要業務之持續營運。

(5) 資訊系統損害對公司財務業務之影響及因應措施
透過每年定期辦理營運衝擊分析，由各使用單位鑑別出各項業務關鍵流程與對應支援的資訊系統服務，評估其交易量、業務功能重要性，以及對財務面、法令規章、客戶等層面之營運風險與衝擊，計算出風險值；並依據風險等級，規劃設計與提升適當軟硬體設備資源，改善作業流程，讓資訊系統損害發生時能儘速順利恢復業務，降低可能的損失與風險。

八、資通安全管理：
（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(1) 金控訂定整體一致性之資訊安全政策、規範及資安基準，建立金控及子公司電腦資安事件應變小組，舉行24次資訊安全聯防會議，驅動子公司校準金控資安策略方向，並建構出具調適且協同合作之資安聯防體系、型塑重視資訊安全的組織文化，整體資安制度每年亦通過ISO 27001 國際標準驗證。

金控每月均向董事長及總經理呈報資訊安全辦理情形，並定期向董事會提報金控整體資安狀況報告，另整體之資訊安全防護規劃，原則依據金融監督管理委員會頒定之金融資安行動方案，且金控資訊安全總經費編列至少占資訊經費約為5%，其金控、子公司及海外子公司共計85 位資安人員規劃及維護資訊系統、網路系統之資訊安全，建立有效之偵測及防護措施。

又為確保對外服務可用性、安全性及保障顧客權益，業已定期委託第三方外部專家模擬駭客攻擊方式進行滲透測試或紅隊演練，持續檢視系統瑕疵或弱點，如舉辦勒索軟體應變演練、數位證據保存演練等，藉以強化同仁資訊安全事件回應能力；另子公司依據業務需求，購買資安保險，保險項目包括資料保密及隱私責任、網路安全責任、媒體責任、事故應變、營業中斷等，以對客戶權益之重視。

依據世界經濟論壇(World Economic Forum )2021 年全球風險報告，「網路安全失效」、「資訊科技基礎設施故障」等科技風險仍持續威脅我們，金控透過端點偵測及回應系統、員工上網行為管理系統、風險弱點管理系統、電子郵件資料安全防護系統、資訊安全管理平台巨量資訊分析機制，以即時偵測與防護外部未知惡意威脅、鞏固資訊安全縱深防禦。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

富邦金控之子公司富邦證券及日盛證券於2021 年遭受共4 次撞庫攻擊事件，皆已即時進行危機應變處理，無造成客戶權益受損情事，並訂定防制駭客撞庫攻擊強化措施，提升人員資安意識、強化交易平台登入身分驗證(雙因子驗證)，監控惡意登入行為等，定期每月檢視監控規則之有效性，藉以確保客戶權益不受損。

《攻擊事件簡述》：

撞庫攻擊手法，是駭客在網路上利用已洩露的客戶帳密資料，嘗試攻擊其他網站，冒用同一個用戶身分進行交易。

《分析》：

由於金融業對於設備有一定的要求，加上伺服器都需要與主管機關相連線，所以，設備上必須配合金管會的要求進行配置。此外，金融業也有設立金融資安資訊分享與分析中心(F-ISAC)，網址如下：https://www.fisac.tw/
，就一般公發公司而言，目前就缺乏一個整合資訊的單位，任何資安訊息都要經由重訊的發佈才能知道狀況，如果能經過類似此種整合與分享的單位，匯集資料，讓資訊能夠更透明化，這樣就有助於後續資安事件的追蹤與處理方式的參考。

此外，富邦金一年有召開24次資訊安全聯防會議，母公司與各子公司同時進行，並同步校準，公發公司是可以參照此種方式，採用同步的方式，找出聯防或互相支援的最佳方式。

富邦金這裡有提了一個預算的問題，『金控資訊安全總經費編列至少占資訊經費約為5%』，我們國家政府每年也是有提供國防、教育等等各種預算編制，一般公開發行公司也可以以此為標準，提列年度預算。

最後，來看他們的年度資安事件，他們很明確的區分四個項目，也將主管機關裁罰的金額，明確的顯示在總表內，大至上，就很簡單而清楚的了解了資安事件的狀況，再輔以後續的處理方式說明，如此就很清楚的揭露了公司資安事件的資訊。

在此，就資訊揭露的部分來說，富邦金對於資安事件的表達，就可以很簡單明瞭的了解狀況，如果要知道更詳盡的資訊，也可以到整合的平台上去搜尋資料，並且更進一步的了解狀況。這部分是筆者認為一般公發公司值得借鏡的地方。