iT邦幫忙

2025 iThome 鐵人賽

DAY 22
1
Security

企業資訊韌性實例分析系列 第 22

DAY 22 資訊韌性實例分析21— 神腦(上市通訊網路;股票代號:2450)

  • 分享至 

  • xImage
  •  

一、企業背景與產業環境

神腦國際(上市通訊網路;股票代號:2450)為台灣重要的通訊產品通路與服務商,營運涵蓋電商平台、門市系統與企業服務。其資訊系統承載大量交易資料、客戶個資與營運流程,資安韌性直接關係到服務穩定性與消費者信任

根據 113 年 10 月公司發布的重大訊息,神腦偵測到網路資安事件,已即時啟動應變機制並通報相關機關。然而,在114年度股東會年報中,卻未見針對該事件的揭露或後續處理說明,僅在「重大資通安全事件損失」欄位註記「無」,形成資訊揭露上的明顯矛盾。

二、資訊韌性切入角度

(1) 神腦國際於113/10/16在公開資訊觀測站所發佈之重訊:
https://ithelp.ithome.com.tw/upload/images/20251005/20107482eEUTa1O2V8.jpg

(2) 神腦國際於114年股東會年報上有關該事件之揭露情況:
https://ithelp.ithome.com.tw/upload/images/20251005/20107482gmxmaevVsV.jpg

三、韌性策略與實際狀況

神腦國際年報中未見事件細節、損失評估或制度改善說明,然而,神腦國際仍然有針對潛在的資安風險,列出兩項具代表性的資安與營運風險情境,整理如下:

  1. 阻斷式攻擊(DDoS)模擬
  • 影響:神腦生活網站服務中斷約 2 天
  • 損失:營業額約新台幣 1.77 億元
  • 應變:啟動緊急服務移轉計畫,維持基本服務運作
  1. 地震造成辦公室中斷模擬
  • 影響:電力與網路中斷,辦公與部分服務受影響約 2 週
  • 損失:估算服務、廠商、設備費用約新台幣 1 億元
  • 應變:緊急將服務移至雲端主機,持續營運不中斷

這種「未發生但已預估」的揭露方式,顯示神腦已將資安與營運風險納入制度性思考,並具備災難復原與業務持續計畫(BCP)架構

四、制度與文化支撐

(1) 2025年股東會年報有關資通安全管理之內容:
https://ithelp.ithome.com.tw/upload/images/20251006/20107482vWDNTctbSF.jpg

本次主要節錄神腦國際的資通安全管理的防護措施列表,由本表可知,神腦國際對於資安防護是有一定程度的水準,因此對於資訊韌性上來說,應該是具有一定的成熟度

五、筆者看法及觀點

其實在看神腦國際的資料時,覺得就資通安全管理的內容寫的很充實,然而,當看到年報上未揭露113年10月的資安事件重訊時,腦中充滿了很多問號,但又看到神腦國際把可能發生的兩項問題,很詳細評估復原時間以及可能造成營業額的損失寫在年報上,又覺得神腦國際很仔細的去評估潛在風險,對於資安韌性來說,的確都有做到韌性所謂的如何「撐住」外部攻擊的評估,而且連復原時間都明確寫出,這比之部分公開發行公司來說,真的是可以做為一個範本來參考了。所以只能說,瑕不掩瑜吧!

然而,我們還是要討論一下,股東會年報當中未見事件細節、損失評估或制度改善說明,可能原因包括以下三點:

•	公司判定事件「不具重大營運影響」,因此未列入;
•	年報編製流程未納入資安事件通報與追蹤機制;
•	缺乏事件後分析報告,導致揭露內容無從產出。

為進一步強化神腦的資訊韌性,仍然建議:

•	建立資安事件後分析報告制度:釐清事件成因、影響範圍與制度改善方向,作為年報與永續報告揭露依據;
•	制定資安事件揭露準則:明確定義何種事件需納入年報、永續報告或重大訊息;
•	推動揭露一致性稽核:確保重訊、年報與永續報告間資訊一致,避免揭露落差;
•	將資安治理納入董事會監督範疇:提升治理層級,確保資安事件不僅止於技術處理。

以上給大家做參考!


上一篇
DAY 21 資訊韌性實例分析20— 欣興(上市電子零組件;股票代號:3037)
系列文
企業資訊韌性實例分析22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言