從同儕影響的研究看資訊安全教育

根據《MIS Quarterly》的研究 “Peer Influence in the Workplace”，透過企業數位平台分享同儕成功訊息（分為強調努力與能力兩種訊息），能顯著影響員工的工作努力程度。此研究顯示，努力導向的訊息對所有社交距離的員工都有激勵作用，而能力導向的訊息則對與成功同儕社交距離較近的員工效果更明顯。

中小企業或稽核員講師負責審視企業資訊安全管理系統（ISMS），並講授CNS 27001條文時，可從此研究得到以下三方面啟發：

1. 資訊安全認知訓練設計：納入同儕成功案例的啟發

根據CNS 27001條文7.3，組織應確保在其控管下工作的員工具備必要的資訊安全認知，包括熟悉資訊安全政策、了解其對資訊安全管理系統效能的貢獻，以及未遵循要求的可能後果。稽核員可以建議企業在設計認知訓練時，將「努力導向」的同儕成功案例納入其中，讓員工透過實例感受到：{1}.資訊安全政策的實踐價值：通過案例展示如何以努力實現具體的資訊安全目標，使員工理解遵循政策對組織的重要性。(2}.員工貢獻的正向影響：透過強調成功案例中努力的成果，讓員工認識到他們在資訊安全績效改善中的關鍵角色，增強參與感和責任感。(3).忽視安全要求的風險啟示：結合案例闡述未遵循資訊安全要求可能導致的後果，例如資料洩漏或系統中斷，提升員工的風險意識。

透過這樣的設計，企業可以將抽象的規範具體化，讓員工在案例中看到努力與成果的連結，進一步激發其學習動力並提升資訊安全認知訓練的成效。

2.針對不同角色設計差異化教育內容

依據CNS 27001條文5.3，最高管理階層應確保資訊安全相關角色的責任與權限已清楚分配並有效傳達。同時，對於每個角色在資訊安全管理系統中的責任，應提供適切的教育支援，以確保員工能勝任其資訊安全職責。建議企業設計針對不同角色的差異化教育內容：(1).高階主管：應強調能力導向的教育內容，例如如何指導組織資源分配、分析資訊安全管理系統績效，以及決策時對整體安全策略的影響。這類教育能幫助高階主管更好地履行向管理層報告績效的責任，並推動系統效能提升。(2).基層員工：教育內容應側重於努力導向，例如案例分享或實務操作，讓員工理解他們的具體行動如何支持整體資訊安全目標。這能激勵基層員工的參與感，並幫助其將抽象的安全政策轉化為具體的日常行為。(3).中層管理者：結合能力與努力導向，教育內容應著重於如何在團隊內部執行資訊安全政策，並向上級報告績效。同時，提供解決日常資訊安全問題的實務指南，提升其管理效能。

透過針對角色量身打造的教育內容，企業能確保所有層級的員工都具備履行責任所需的知識與技能，進一步提升資訊安全管理系統的效能與整體安全文化。

3.建立互動性高的數位學習平台

根據CNS 27001條文7.4，組織應決定與資訊安全管理系統相關的內外部溝通需求，包括溝通的內容、時機、對象及方式。稽核員可建議企業運用即時數位學習平台來提升溝通效能，以促進同儕影響並增強員工的參與感。例如：(1).溝通內容：在平台上分享資訊安全成功案例與實務技巧，讓員工能從中了解具體的實踐方式與成效。(2).溝通時間：設定定期更新的頻率，例如每月發佈新案例或舉辦線上研討會，以維持員工的學習興趣。(3).溝通對象：根據員工角色區分內容，例如基層人員專注於實作案例，高階主管則可參考策略性指導。(4).溝通方式：採用即時互動工具，例如內部通訊應用程式、線上論壇或電子學習模組，方便員工隨時參與、提問與回饋。

透過這種高互動性的數位學習平台，組織不僅能有效傳遞資訊安全知識，還能促進內部協作，讓員工在參與過程中建立更強的資訊安全意識與責任感。

企業資訊安全教育不僅是條文的單向傳遞，更應注重訊息的設計與傳播方式。同儕影響研究的發現為中小企業或稽核員講師提供了新觀點，讓資訊安全教育更貼近人性需求，進而提升企業整體的資訊安全成熟度。

參考文獻

Liu, H., Wen, W., & Whinston, A. B. (2024). Peer influence in the workplace: Evidence from an enterprise digital platform. MIS Quarterly, 48(4), 1559–1574.