《前言》

證券業是由證期局來管理的，因此證券業與一般公發公司的年報一樣，都是適用於『公開發行公司年報應行記載事項準則』，但事實上，目前金控都有包含了證券，所以，有的金控會在年報裡面在公司治理的部分會提到旗下的證券公司狀況。此外，證期局對於證券業的監理，又比一般發行公司來的嚴格，畢竟，所有交易都要回報到交易所的主機上面，只要一遇到外部攻擊，那麼可能整個資本市場都會癱瘓。因此，我們也可以說證券業是介於金融業與一般企業之間的一個行業，是有其特殊性的地方。由於統一證在去年資安事件上處理方式得宜，因此在本篇也列舉了統一證做為案例分析。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

1.資通安全風險管理架構：目前本公司資訊安全日常業務或專案相關之組織為資訊系統部，而資訊安全業務主要權責部門為該部之資訊安全科，該單位為具職權行使獨立性之資訊安全專責單位，並指派適切人員擔任資訊安全專責單位主管，且無兼職兼辦資訊或其他與職務有利益衝突之業務，亦配置適當人力資源及設備，而其他科組為配合執行或落實資訊安全作為之協處單位。

2.資通安全政策：本公司業依據資訊安全管理系統（ISO27001：2013）之要求項目建立資訊資產、風險評鑑、應用程式開發、網路及通訊安全相關等規章辦法，以作為日常營運管理時之依據，自 102 年 8 月 23 日取得認證後，維持由英國標準協會（BSI）執行每年一次續審及每三年重新審查，本年度於 110 年 8 月完成續審。

3.具體管理方案：本公司透過管理階層領導與控制組織整體之資訊安全活動流程，以確保與維繫各階層人員進行有效地溝通，並遵循及維繫「規劃（Plan）、執行（Do）、檢查（Check）、行動（Act）」有效之運作與持續改善模式，深化資訊安全管理制度作業。

4.投入資通安全管理之資源：鑑於近期網路攻擊威脅日益升高，為確保電腦系統具有一定之安全防護能力，需由機房、伺服主機、用戶設備、網路及電子郵件等各層面提昇防護設施，藉以實施技術面與管理面相關控制措施，以改善並提昇網路及資訊系統安全防護能力，除完成資訊安全相關管理作業規範之修訂外，亦逐步完成相關設備之安全更新、漏洞修補及版本升級，更進一步委請外部單位進行獨立檢測評估以提早發現潛在資訊安全風險。

5.本年度亦透過各種演練強化相關單位資訊安全觀念及反應速度，辦理資安強化作業如下：
(1) 防範惡意電子郵件社交工程演練作業
(2) 應用系統備援切換演練作業
(3) 分散式阻斷式服務（DDoS）攻防演練
(4) 金融監督管理委員會及所屬機關（構）110 年度資通安全通報演練計畫
(5) 資訊安全與健檢評估作業
(6) 進行證券期貨業者分級資通安全防護作業之終極目標
(7) 行動應用 APP 檢測
(8) 為強化資訊安全意識，安排資訊安全教育訓練，訓練課程包含：
A. 資安事件案例及資安觀念分享
B. 個人電腦使用與資安日常作業
C. 資安職能訓練及資安概念
D. 郵件安全與社交工程防範
以期能提昇資訊系統之安全性、可靠性、可用性，降低相關資訊安全事件可能對公司財
務損害之風險。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

1.本公司於 110 年度發生一件資安事件為 110 年 11 月 25 日，因撞庫事件衍生複委託異常委託及異常成交情事，總計有 7 個帳戶共 17 筆成交單受到影響，實際損失金額為HKD364,192.91 元，所有損失均由公司負擔，不會損及客戶權益。
2.本公司針對上述事件已採取改善措施，包括：強化下單憑證之下載驗證機制以避免冒用帳號之下單，進一步改進本公司下單安全之防護的措施也已在進行中。本公司將額外編列適當的預算強化資訊技術安全，以降低日後類似事件之發生機率與造成衝擊。

《分析》：

撞庫事件是去年幾家證券商都遇到的資安事件，前面在富邦金也有提到，主要就是有客戶的帳戶被盜用，並透過網路下單，其中大部分都是複委託，也就是委託本國券商進行海外股市交易，這次主要都是港股的部分，統一證在處理的時候，很快就在公司網頁公告公司，並且在11/29針對媒體報導，發佈重訊，以避免媒體的錯誤報導：

此外，就是在股東會年報裡面再揭露公司的後續處理方式，及賠償客戶損失的部分，相對於一般公開發行公司，我們就比較少看到這三點，也就是對於客戶與自身應該負的責任：

(1) 是否負擔損失？
(2) 是否保障客戶權益？
(3) 後續自身處理方式？

在來就是現在媒體都有專門的追蹤事件的報導，尤其重訊一發布之後，就會透過各種管道，不管是國內或是國外的網站來追蹤事件，所以公司再後續的更正報導就很重要了，由於報導難免會出現臆測的狀況，有可能會導致公司商譽或者誤導，所以依照交易所的規定，就要針對媒體作出澄清報導，所以，有些發行公司即使有發言人制，也很少看到後續對媒體的澄清公告。所以歸納下列幾點：

(1) 即時聲明稿 （公司網頁公告）
(2) 後續媒體澄清　（重大訊息的公佈）
(3) 事件結束後說明　（股東會年報的說明）

雖然大家都不願意遇到資安事件，但有了資訊的通報之後，同業或者是產業鏈的上下游才能透過這些機制，趕緊強化本身資安政策及公司治理，並且將資訊充分揭露，除了本身資安強化，也能保護了客戶。