CNS 27002:2023提供了資訊安全管理的重要指引,特別在台灣中小企業中,其人員控制措施的落實顯得尤為關鍵。從ISO 27001主導稽核員的觀點,審視CNS 27002:2023不僅能增進稽核的實務性,更能從國際與本地的資安專業角度協助組織強化內部管理。本文透過MIS領域的研究成果,探討國際與本地IT專業人員的互補性,結合CNS 27002的條文內容,提出對台灣中小企業實務的啟示。
國際與本地IT專業人員的互補性研究Mithas等(2022)指出,外國與本地資訊技術(IT)專業人員在企業的利潤生成中展現了互補性,而非簡單的替代關係。該研究透過美國AC21法案的外生衝擊,驗證了海外與本地專業人員如何協作提升企業效益。對於稽核員而言,這提供了一個新觀點,即組織應如何整合多元的人力資源以實現最佳的資訊安全管理。
CNS 27002:2023條文中的實務啟示
第6章「人員控制措施」強調了聘用條款的重要性,包括職前安全要求、保密協議及職後責任延續等。結合上述研究成果,稽核員可從以下幾個方面優化稽核過程:
- 聘用條款的國際對應:在審核台灣中小企業時,稽核員應鼓勵企業學習國際對應,採用更透明且符合國際規範的聘用條款,特別針對跨國合作與外包人員的資訊安全管理。
- 角色與責任的清晰界定:如CNS 27002第6.2條所述,稽核員應確保企業對本地與國際員工的資訊安全角色與責任有明確界定,避免因文化或法律差異導致管理漏洞。
- 政策動態調整:稽核員應建議企業定期更新其政策與聘用條款,以應對快速變化的國際法規及市場需求,這一點在跨國企業與本地企業間特別重要。
CNS 27002:2023為台灣中小企業提供了明確的資安控制措施,而國際研究則補充了跨文化協作的觀點。稽核員在實務中應協助企業在全球化與本地化間取得平衡,既滿足國際資安標準,又能適應台灣中小企業的現實需求。ISO 27001主導稽核員透過CNS 27002:2023的審視,可學習如何將國際最佳實務應用於本地企業。同時,結合研究成果探索全球化與本地化的平衡,能更好地支持台灣中小企業在數位時代中持續成長。
參考文獻
- Mithas, S., Chen, Y., Liu, C., & Han, K. (2022). Are foreign and domestic information technology professionals complements or substitutes? MIS Quarterly, 46(4), 2351-2366.
- CNS 27002:2023. 資訊安全、網宇安全及隱私保護-資訊安全控制措施.
