根據Mehra等人(2014)在《MIS Quarterly》中的研究,企業對員工進行有計劃的教育投資,不僅能提升生產力,還能帶來顯著的經濟回報。該研究特別指出,隨著科技快速演進,中小企業(SME)需要持續教育以應對技能淘汰速度加快的挑戰。這樣的概念在CNS 27002:2023條文中,特別是「6.3 資訊安全認知及教育訓練」的部分,提供了實施參考,尤其是在提升組織資訊安全能力和員工素質方面。
CNS 27002:2023強調,所有組織人員及關注方應定期接受與職務相關的資訊安全認知訓練。這呼應了Mehra等人提出的「訓練回報效益模型」,即教育能增加員工對安全風險的敏感度,進而提升組織韌性。例如,對技術人員的專業技能強化訓練(如漏洞修復及系統配置),可有效降低數據洩露風險並增強整體競爭力。
Mehra等人提到,教育的回報效益需透過數據分析進行驗證。對ISO 27001稽核員而言,在審視CNS 27002條文時,可藉助數據驅動的方法評估教育效能。例如,通過測驗了解員工對資訊安全政策和控制措施的掌握程度,並分析教育計畫對降低事故率的貢獻,確保教育資源的有效使用。
CNS 27002:2023指出,教育訓練計畫需考量人員角色與資訊安全責任的不同需求,例如職前訓練、新職位適應訓練、在職訓練等。這與Mehra等人對分層次教育的討論相吻合—針對不同職位提供量身打造的訓練內容,可更精準地提升員工技能。同時,定期重複訓練活動有助於深化員工對政策及程序的理解。
Mehra等人的研究從經濟回報角度驗證了教育訓練的重要性,這為ISO 27001稽核員在檢視CNS 27002:2023時提供了啟發:資訊安全教育不僅是合規要求,更是一項策略性投資。透過設計數據導向的教育計畫,結合角色導向的分層次培訓,企業能有效提升資訊安全水準,同時增強長期競爭力。
Mehra, A., Langer, N., Bapna, R., & Gopal, R. (2014). Estimating returns to training in the knowledge economy: A firm-level analysis of small and medium enterprises. MIS Quarterly, 38(3), 757–771.