《前言》

隨著物流業的發達，有些貿易百貨業都會有配送的服務，這種強大物流體系，在現今的社會裡，佔有很重要的角色，所以在此以大潤發的潤泰全為例，看看上市的貿易百貨如何揭露資通安全管理的部分。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

本公司資通安全權責單位為資訊處，負責訂定安全政策、規劃暨執行安全作業與資安政策推動與落實。

1. 資訊安全風險架構
主要之運作模式公司採用 PDCA （Plan-Do-Check-Act）循環式管理，確保可靠度目標之達成且持續改善。

2. 資訊安全政策
本公司資訊安全管理機制，包含以下三個面向：
A. 制度規範：訂定公司資訊安全管理制度，規範人員作業行為。
B. 硬體建置：建置資訊安全管理系統，落實資安管理措施。
C. 人員訓練：定期進行資訊安全教育訓練，以提昇全體同仁資安意識。

3. 資訊安全管理措施
(1) 制度規範：本公司內部訂定相關資訊安全規範與制度，以規範本公司人員資訊安全行為，每年定期檢視相關制度是否符合法規與營運環境變遷，並依需求適時調整。
(2) 硬體建置：本公司為防範各種外部資安威脅，除採多層式網路架構設計外，更建置各式資安防護系統，以提昇整體資訊環境之安全性。
(3) 人員訓練：本公司每一年開設資訊安全教育訓練課程，所有同仁每年最少應修習前述課程一次，因工作關係而無法參與前述實體課程者，本公司另設有資訊安全之線上講習課程，藉以提昇內部人員資安知識與專業技能。同仁如未經由前述實體或線上課程完成該年度之資訊安全課程者，資訊處與管理部將列管追蹤，並列為年度考績之檢核項目。

4. 本公司目前資訊安全相關具體執行措施如下：

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

5. 資安事件通報程序
   本公司資通安全通報程序如下，資安事故之通報與處理，皆遵守該程序之規範進行。
   

《分析》：

潤泰全是百貨零售商的代表產業之一，就公司治理的角度而言，在資通安全管理方面，公司主要是由資訊處來負責資通安全方面的業務，這種方式，在目前在一般發行公司很常見，就如同之前案例有提到，只要遇到『資』這個字就全部塞給資訊處來處理，然而，在資安的層級上，因為還無法直接與董事會及審計委員會報告，因此，都還要經過總經理在往上匯報，某些專業技能，就不見得能充分傳遞，所以，筆者在每個案例的股東會年報都會看一下，董事與獨董的專業能力，一樣的，我們也看一下潤泰全董事會成員的專業。

由上圖可以看到，最後一位，也是董事會裡面唯一一位具有資訊科技的專業能力，但在年齡上也是偏高，其餘的董事大部分都不具有資安的專業能力，所以公司在資通安全管理的架構上，比較不容易落實資安方面的公司治理，這是潤泰全比較弱的地方。

另外，在政策與具體措施方面，大致上與一般發行公司差異不大，不過，在資安通報程序上，潤泰全以流程圖的方式表達，在這部分就可以很清楚的看出資安通報流程，這種流程圖的好處，在於當面臨比較危急的狀況，可以由這類簡圖(不是畫得很繁雜，讓人眼花撩亂的那種圖)很快就能從流程圖找出SOP的程序，當然，這張圖當中，在發生資安事件時，很多不見得能提供重要處理資訊，例如，就缺乏通報主管機關與發佈重訊的流程，但是至少能夠先有個簡圖，在回朔作業程序及控制重點，這類的流程圖當然也有缺點，過於繁雜的流程圖，就容易產生反效果，所以，這類流程圖在危急的狀態下，最好就不要超過三個階層以上，但在內部作業上，就還要準備一份較詳細的流程圖，作業程序、表單、參考資料以及控制重點等等。

鐵人賽也接近尾聲了，筆者就看過的股東會年報上資通安全管理的揭露事項，在本篇提出一個看法，其實之前在台灣高鐵也說過，目前大部分都以公司內部的系統安全為主，在這方面當然是沒有任何的疑問，一定要先固本才行，但有關業務方面的資訊安全，大部分發行公司就沒有提及了，例如航運業的船舶、飛行器、車輛等等就比較少提及公司對於營運的資安政策，同樣的，現在貿易百貨業也出現這種狀況，筆者在看過另一家富邦媒（8454）時，至少他有寫到這段：

(三)資通安全風險與因應措施
本公司已建立全面的網路與電腦相關資安防護措施，透過持續檢視和評估其資訊安全規章及程序，以確保其適當性和有效性，導入IVR物流配送轉接服務及宅配單隱碼強化資料保護及加強郵件偵測和社交演練，以防範瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。

在此，筆者也提供給大家作為參考!