一、企業背景與產業環境

神腦國際（上市通訊網路；股票代號：2450）為台灣重要的通訊產品通路與服務商，營運涵蓋電商平台、門市系統與企業服務。其資訊系統承載大量交易資料、客戶個資與營運流程，資安韌性直接關係到服務穩定性與消費者信任。

根據 113 年 10 月公司發布的重大訊息，神腦偵測到網路資安事件，已即時啟動應變機制並通報相關機關。然而，在114年度股東會年報中，卻未見針對該事件的揭露或後續處理說明，僅在「重大資通安全事件損失」欄位註記「無」，形成資訊揭露上的明顯矛盾。

二、資訊韌性切入角度

(1) 神腦國際於113/10/16在公開資訊觀測站所發佈之重訊：

(2) 神腦國際於114年股東會年報上有關該事件之揭露情況：

三、韌性策略與實際狀況

神腦國際年報中未見事件細節、損失評估或制度改善說明，然而，神腦國際仍然有針對潛在的資安風險，列出兩項具代表性的資安與營運風險情境，整理如下：

1. 阻斷式攻擊（DDoS）模擬

• 影響：神腦生活網站服務中斷約 2 天
• 損失：營業額約新台幣 1.77 億元
• 應變：啟動緊急服務移轉計畫，維持基本服務運作

2. 地震造成辦公室中斷模擬

• 影響：電力與網路中斷，辦公與部分服務受影響約 2 週
• 損失：估算服務、廠商、設備費用約新台幣 1 億元
• 應變：緊急將服務移至雲端主機，持續營運不中斷

這種「未發生但已預估」的揭露方式，顯示神腦已將資安與營運風險納入制度性思考，並具備災難復原與業務持續計畫（BCP）架構。

四、制度與文化支撐

(1) 2025年股東會年報有關資通安全管理之內容：

本次主要節錄神腦國際的資通安全管理的防護措施列表，由本表可知，神腦國際對於資安防護是有一定程度的水準，因此對於資訊韌性上來說，應該是具有一定的成熟度。

五、筆者看法及觀點

其實在看神腦國際的資料時，覺得就資通安全管理的內容寫的很充實，然而，當看到年報上未揭露113年10月的資安事件重訊時，腦中充滿了很多問號，但又看到神腦國際把可能發生的兩項問題，很詳細評估復原時間以及可能造成營業額的損失寫在年報上，又覺得神腦國際很仔細的去評估潛在風險，對於資安韌性來說，的確都有做到韌性所謂的如何「撐住」外部攻擊的評估，而且連復原時間都明確寫出，這比之部分公開發行公司來說，真的是可以做為一個範本來參考了。所以只能說，瑕不掩瑜吧!

然而，我們還是要討論一下，股東會年報當中未見事件細節、損失評估或制度改善說明，可能原因包括以下三點：

•	公司判定事件「不具重大營運影響」，因此未列入；
•	年報編製流程未納入資安事件通報與追蹤機制；
•	缺乏事件後分析報告，導致揭露內容無從產出。

為進一步強化神腦的資訊韌性，仍然建議：

•	建立資安事件後分析報告制度：釐清事件成因、影響範圍與制度改善方向，作為年報與永續報告揭露依據；
•	制定資安事件揭露準則：明確定義何種事件需納入年報、永續報告或重大訊息；
•	推動揭露一致性稽核：確保重訊、年報與永續報告間資訊一致，避免揭露落差；
•	將資安治理納入董事會監督範疇：提升治理層級，確保資安事件不僅止於技術處理。

以上給大家做參考!