《前言》

元大證是元大金（2885，上市，金融保險業）的子公司，所以除了看子公司的股東會年報所揭露的資通安全管理之外，亦要去看母公司的揭露情況，如此才能了解公司整體揭露情況。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

《分析》：

元大證券110年11月時，所遭遇的撞庫攻擊是由母公司代為發佈重訊的，如下圖所示：

另外檢視母公司元大金(股票代號：2885；上市，金融保險業)的股東會年報，主要是將資通安全管理放在資訊設備的這個項目裡揭露，當中也有揭示了子公司元大證券所購買的設備，以及11月撞庫事件的公告，所以元大主要還是由母公司來統一發佈重訊，及與子公司一起在股東會年報上揭露資安事件。

(元大金所揭露元大證的資訊設備)

(元大金亦有揭露元大證資安事件)

此外，在公司治理的部分，母公司元大金在資訊安全管理機制的部分，有提到母公司有設立資安部及資安長之外，其餘子公司也都有設立同樣的部門及資安長，並且在董事會上報告。所以在此，可以了解，母公司、子公司是要單獨設置各自獨立資安專責單位及主管的。

(元大金所揭露母子公司皆設立資安專責單位及人員)

綜合以上，元大金跟元大證兩邊，在資通安全管理的揭露，是同部進行的，公告是由母公司統一公告，所以資訊上並沒有太多落差產生。不過，如果母子公司(都是公發公司)產業不同，其實，還是要個別公告，並且彙整給母公司了解狀況，並由母公司在股東會年報上面揭露較佳。