一、企業背景與產業環境

喬山健康科技（上市運動休閒；股票代號：1736）是全球知名的健身設備製造商，產品涵蓋跑步機、按摩椅等健身器材，並以 Johnson Fitness 品牌拓展國際零售市場。作為跨國企業，其資訊系統涵蓋集團總部與多個海外子公司，高度依賴數位化營運。

二、資訊韌性切入角度

(1) 喬山公司於114/03/25在公開資訊觀測站所發佈之重訊：

(2) 引用iThome於2025/03/25的報導：https://www.ithome.com.tw/news/168075

我們根據以上兩個資訊，探討該公司的資訊韌性表現，我們主要聚焦於喬山在遭遇勒索軟體攻擊後的資訊韌性表現，特別是其對於集團內部網路、海外子公司系統的應變能力，以及資安通報與防禦機制的啟動效率。

三、韌性策略與實際狀況

根據iThome的報導，喬山於 2025 年 3 月 25 日證實遭受網路資安事件，疑似為 CrazyHunter 所為。攻擊者企圖登入集團總部與部分海外子公司的內網，並對資訊系統發動攻擊。
我們從報導中，觀察到韌性策略缺失如下
(1) 即時啟動防禦機制：公司表示在發現攻擊後已立即啟動相關防禦措施，避免擴大影響。
(2) 初步通報透明：喬山主動發布重大訊息，說明事件狀況與初步評估結果，展現資安通報的成熟度。
(3) 資料外洩控管：目前評估無個資、機密或重要文件外洩，顯示在資料分級與存取控管上具備一定韌性。

四、制度與文化支撐

筆者檢視2024年永續報告書資訊安全部分，喬山公司有將2025年3月的這次海外子公司內網企圖被入侵的事件，揭露在永續報告書內，如下圖所示：

喬山公司能在短時間內確認攻擊並發布通報，顯示資訊、資安單位具備一定的事件處理能力與制度化流程。這也反映出企業文化中對資安風險的敏感度與應變之意識。

五、筆者看法及觀點

喬山公司的快速通報，以及初步控管外洩風險，避免重大營運中斷，這點在資訊韌性是值得肯定的，然而我們從該案例了解到，外部攻擊者其實長期持續的鎖定台灣的企業，顯示產業聯防機制仍有待強化，尤其集團型企業，更需加強海外子公司資安一致性。

有跨國設置企業的公司，應該要建立集團級資安聯防平台，整合各子公司資安事件通報與防禦策略。並且把海外子公司、轉投資事業等，定期進行跨國資安演練，提升整體韌性成熟度。

然而在此仍須特別留意，若企業營運或資料儲存涉及網路管制嚴格的國家（例如中國），其資訊安全策略需額外考量「監管滲透風險」。在此類專制政體下，政府可能擁有廣泛且不受司法制衡的監管權利，包括：

(1)	要求企業交出用戶資料、通訊記錄或系統後門；
(2)	限制加密技術的使用或強制安裝監控模組；
(3)	對跨境資料傳輸進行審查與封鎖。

因此，企業在設計資訊韌性架構時，應納入以下風險防範措施：

(1)	資料權限之規劃：將敏感資料儲存於法治健全的地區，避免受制於高風險監管環境。
(2)	加密與分散儲存：採用端對端加密與多地分散架構，降低單點監控風險。

同時也要定期檢視當地資安法規與監管趨勢，並建立應對機制。並將政治風險納入韌性模型之內，將「制度風險」納入資訊韌性評估，不僅防範技術性災難，也預防制度性滲透。

最後，在全球化與地緣政治日益緊張的背景下，企業的資訊韌性不再只是技術問題，更是對治理環境的深度理解與策略選擇。

以上給大家參考!