從3M資訊領導力計畫看CNS 27002:2023 6.1篩選條文

在3M的「資訊領導力計畫」中，Roepke, Agarwal和Ferratt（2000）詳細描述了IT人力資源如何與企業目標適配，並透過領導力的提升使資訊部門從傳統支持角色轉型為戰略夥伴。這樣的經驗對於ISO 27001主導稽核員在審視CNS 27002:2023條文時提供了寶貴啟發，尤其是在6.1「篩選」的落實上。

3M的啟示：對人員篩選的全面觀點

3M的計畫顯示，成功的IT組織需要注重「人」的因素，從技能培養到文化適配，確保人才具備不僅技術能力，還包括戰略思維及創新精神。這與CNS 27002:2023中6.1「篩選」條文的核心一致，即在聘用前進行背景調查，考量法律、倫理及組織需求，並持續評估其適合性。

對ISO 27001主導稽核員的啟發

1. 篩選程序的策略性設計：CNS 27002:2023建議針對全職、兼職及臨時人員進行詳細背景調查，例如檢查履歷的完整性、學歷及專業資格等（CNS 27002:2023）。主導稽核員應確保企業篩選過程透明且符合法規，並針對敏感角色如資安主管進行更嚴格的檢核，如犯罪紀錄及信用查核。
2. 持續適任性評估：3M強調IT專業人士的持續領導力發展，對應於CNS 27002:2023中的定期查證要求（CNS 27002:2023）。稽核員可檢視組織是否定期檢討員工的適合性，尤其是關鍵職位。
3. 文化與價值觀的整合：3M的成功轉型強調了文化適配的重要性。稽核員應審查篩選過程是否僅聚焦於技能，還包括個人價值觀是否與組織文化契合。
4. 法律與倫理的遵循：稽核員在審查CNS 27002時，可參考3M對倫理的重視，確保篩選過程符合法律及道德標準，並保護個人隱私（PII）。

從3M當時的成功經驗看來，CNS 27002:2023的6.1條文不僅是技術層面的要求，更是一種全面篩選與人員管理的戰略思維。ISO 27001主導稽核員應將這些原則融入審查過程，確保組織在資訊安全角色篩選上具有長期競爭力。

參考文獻

• Roepke, R., Agarwal, R., & Ferratt, T. W. (2000). Aligning the IT human resource with business vision: The leadership initiative at 3M. MIS Quarterly, 24(2), 327-353.
• 中華民國國家標準 (CNS) 27002:2023. 資訊安全、網宇安全及隱私保護－資訊安全控制措施. 【台灣經濟部標準檢驗局】