神腦國際(上市通訊網路;股票代號:2450)為台灣重要的通訊產品通路與服務商,營運涵蓋電商平台、門市系統與企業服務。其資訊系統承載大量交易資料、客戶個資與營運流程,資安韌性直接關係到服務穩定性與消費者信任。
根據 113 年 10 月公司發布的重大訊息,神腦偵測到網路資安事件,已即時啟動應變機制並通報相關機關。然而,在114年度股東會年報中,卻未見針對該事件的揭露或後續處理說明,僅在「重大資通安全事件損失」欄位註記「無」,形成資訊揭露上的明顯矛盾。
(1) 神腦國際於113/10/16在公開資訊觀測站所發佈之重訊:
(2) 神腦國際於114年股東會年報上有關該事件之揭露情況:
神腦國際年報中未見事件細節、損失評估或制度改善說明,然而,神腦國際仍然有針對潛在的資安風險,列出兩項具代表性的資安與營運風險情境,整理如下:
這種「未發生但已預估
」的揭露方式,顯示神腦已將資安與營運風險納入制度性思考,並具備災難復原與業務持續計畫(BCP)架構。
(1) 2025年股東會年報有關資通安全管理之內容:
本次主要節錄神腦國際的資通安全管理的防護措施列表,由本表可知,神腦國際對於資安防護是有一定程度的水準,因此對於資訊韌性上來說,應該是具有一定的成熟度。
其實在看神腦國際的資料時,覺得就資通安全管理的內容寫的很充實,然而,當看到年報上未揭露113年10月的資安事件重訊時,腦中充滿了很多問號,但又看到神腦國際把可能發生的兩項問題,很詳細評估復原時間以及可能造成營業額的損失寫在年報上,又覺得神腦國際很仔細的去評估潛在風險,對於資安韌性來說,的確都有做到韌性所謂的如何「撐住」外部攻擊的評估,而且連復原時間都明確寫出,這比之部分公開發行公司來說,真的是可以做為一個範本來參考了。所以只能說,瑕不掩瑜吧!
然而,我們還是要討論一下,股東會年報當中未見事件細節、損失評估或制度改善說明,可能原因包括以下三點:
• 公司判定事件「不具重大營運影響」,因此未列入;
• 年報編製流程未納入資安事件通報與追蹤機制;
• 缺乏事件後分析報告,導致揭露內容無從產出。
為進一步強化神腦的資訊韌性,仍然建議:
• 建立資安事件後分析報告制度:釐清事件成因、影響範圍與制度改善方向,作為年報與永續報告揭露依據;
• 制定資安事件揭露準則:明確定義何種事件需納入年報、永續報告或重大訊息;
• 推動揭露一致性稽核:確保重訊、年報與永續報告間資訊一致,避免揭露落差;
• 將資安治理納入董事會監督範疇:提升治理層級,確保資安事件不僅止於技術處理。
以上給大家做參考!