如果說資訊安全是企業營運的基石,那ISO 27001:2022便是打造這塊基石的「米其林指南」。就像美食背後隱藏的精準科學與創意設計,資訊安全的實現也需要洞察人性與管理策略的結合。Turel等人(2021)的研究揭示了影響資訊安全行為的核心動力:價值與利益的感知,這為ISO 27001的實施帶來了深刻啟示。
價值驅動的行為選擇
Turel等人(2021)指出,人們是否遵守資訊安全規範,往往取決於他們對違規行為帶來的價值感知。這一發現與CNS 27001:2023第6節「規劃」中的風險與機會管理相呼應。資訊管理人員應像主廚挑選食材一樣,分析員工的行為選擇邏輯,設計能降低違規行為吸引力的控制措施。例如,簡化合規流程或提升合規行為的便利性,讓遵守規範成為「美味」的選擇。數據與腦科學的結合
Turel等人利用非侵入性腦刺激技術(NIBS)證實,干預價值評估的神經機制可以降低對違規行為的認同。這與CNS 27001:2023第9節「績效評估」強調的內部稽核目標高度一致。稽核員可從中學習,以數據驅動的方法驗證控制措施是否有效,並透過教育訓練引導員工對合規行為的正向評價。
在地化的教育與文化建設
CNS 27001:2023的在地化特性啟發我們,在台灣的企業環境中,應設計符合文化背景的安全教育方案。例如,運用案例教學,模擬常見的違規情境,讓員工理解違規可能帶來的後果,同時強調合規行為的價值,就如同廚師在地化改良經典菜餚,既保留精髓又迎合本地口味。
啟示
資訊安全的管理不僅是技術問題,更是一門整合行為科學與管理藝術的學問。Turel等人的研究強調了價值感知在行為選擇中的作用,為資訊管理主管和稽核員提供了全新視角。在推動ISO 27001時,我們應像頂級主廚一樣,善用創意與科學,端出一道道令人信服的安全策略。
參考文獻
- Turel, O., He, Q., & Wen, Y. (2021). Examining the neural basis of information security policy violations: A noninvasive brain stimulation approach. MIS Quarterly, 45(4), 1715-1744.
- 經濟部標準檢驗局. (2023). CNS 27001:2023 資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項. Retrieved from 中華電信資訊技術分公司.
