《前言》

中鋼公司是國內鋼鐵產業的龍頭，旗下的轉投資事業群，也非常的龐大，加上是官股色彩的公司，所以我們可以看看官股公司對於資通安全管理，在股東會年報上的表達方式與揭露的情況。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一)資通安全組織架構
1.資訊安全治理組織

中鋼公司於 109 年 12 月成立「資訊安全委員會」，由執行副總經理擔任資訊安全長兼任召集人，財務助理副總經理及生產助理副總經理擔任副召集人，資訊系統處、電控處、人力資源處、法務處、綠能與系統整合研究發展處、公用設施處指派專家擔任委員會成員，並設置執行秘書小組及資安推動小組，每季召開會議，統籌資訊安全相關政策制定、執行、風險管理與遵循度查核，並檢視及決議資訊安全與資訊保護方針及政策，落實資訊安全管理措施的有效性。

2.中鋼公司資訊安全委員會架構

(二)資通安全政策
1.資訊安全目標
(1)確保本公司業務相關資訊之機密性、完整性及可用性，保障公司資訊安全。
(2) 提升資訊安全防護能力，達成業務持續運作之目標。

2.資訊安全策略
資訊安全委員會為有效落實資訊安全管理，依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制，檢視資訊安全政策適用性與保護措施，策略如下：
(1)評估資訊作業安全需求，建立相關程序、發展策略、管理框架及標準，以確保資訊資產之機密性、完整性及可用性。
(2) 建立本公司資訊安全組織及分工權責，俾利推行資訊安全作業。
(3) 制定本公司資訊安全事件等級評估準則，以執行各項應辦事項。
(4) 建立資訊安全事件通報應變機制，以確保資安事件儘速妥善回應、控制及處理，並降低事件影響範圍及災損。
(5) 定期提升員工資訊安全意識，以減少人為所造成資訊安全災害。

3.資訊安全架構

4.資訊安全風險管理與持續改善架構

(三)具體管理方案

(四)投入資通安全管理之資源
110 年資訊安全措施推動執行成果：

(五)資訊技術安全之風險及管理措施
中鋼公司參考美國國家標準與技術研究院網路安全框架(National Institute of Standards and Technology Cybersecurity Framework,NIST Cybersecurity Framework)，制定五大項資訊安全管理措施。

1.辨識(Identify)
審視資訊環境及關鍵資源、系統與服務，建構符合日常營運的風險管理策略，包括資訊資產盤點及風險評鑑，並透過內部稽核及外部稽核以發現可能潛在之風險進而改善。
2.防禦措施(Protect)
建置相應的防禦措施，確保關鍵資源、系統與服務不受資安事件影響，包括身分與存取管理、端點/防毒防護與防火牆等。
3.偵測威脅(Detect)
建置資安事件即時偵測與告警機制，包括垃圾郵件管理系統、入侵偵測系統、資安監控中心(Security Operations Center, SOC)。
4.事件應變(Respond)
制定資通安全事件通報及應變管理，當事件發生時期能迅速完成損害控制或復原作業，降低資訊安全事件對中鋼公司之衝擊影響。
5.災後復原(Recover)
建置高可用性架構並制定資料備援計劃，若遭遇資安事件，能在最短的時間內回復正常營運。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

我們依照中鋼年報重大資通安全事件所揭露，並從新聞上資料，整理如下：

1.中鴻公司於 110 年 10 月 27 日，輔助性伺服器遭受病毒攻擊，中鴻公司已於第一時間啟動資安防禦，並對網路攻擊進行清查，亦同步持續檢視並強化現有的基礎架構，全面提升網路安全，以保護資料安全及完整性，中鴻公司生產、銷售及日常營運未受該次資通安全事件影響。
2.中鋼、集團其他上市子公司(中宇、中碳、中聯資源、中鋼構)及重要子公司(中龍)於 110 年度及截至年報刊印日止(111.03.31)並無因重大資通安全事件而受損失之情事。

《分析》：

中鋼的股東會年報，可以做為公發公司資通安全管理參考的範本，在公司治理方面，中鋼是每季都要進行檢討報告的，有公司曾經問過，資安檢討報告大約要多久召開一次比較適合，這個沒有標準答案，但是，例行性的董事會是以季來召開，理論上都要當作報告事項進行報告，所以這個要看公司的政策，緊急的情況，當然要馬上向董事會報告，然後事後在進行彙總報告，這也是負責的公司治理表現。

在《具體管理方案》上，中鋼以表格的方式，清楚呈現，就很一目了然，不會出現通篇文字敘述，這是一個很好的參考格式。其次，如《投入資通安全管理之資源》與《資訊技術安全之風險及管理措施》的表達都很恰當，有條不紊的。

對於資安事件，中鋼是代子公司中鴻在股東會年報上揭露資安事件的，然後，就後續的處理狀況上，筆者參考iThome上的追蹤報導，
（參考新聞：https://www.ithome.com.tw/news/147526 ），中鴻盤點結果以及不確定的事項，應該進行事後的追蹤與公告，或者是在明年的股東會年報上，將後續處理狀況做說明，資安事件的追蹤與分享是很重要的一環。