激發內在動機，提升資訊安全管理效能—以3C公司為例

在現今企業環境中，資訊安全管理系統（ISMS）不僅是一項法規遵循的要求，更是企業營運韌性的關鍵。然而，許多企業在推動ISO 27001:2022時，往往面臨員工對資訊安全要求的低參與度與抗拒。本文將透過3C公司的故事，探討如何從「瞭解關注方之需要及期望」的角度，結合動機心理學的理論，提升企業內部資訊安全管理的執行力。

3C公司的挑戰與契機

3C公司是一家中型電子產品製造商，近年來因客戶資料外洩事件，導致與國際供應鏈夥伴的信任度降低。公司決定導入ISO 27001:2022標準，並期望能強化內部員工對資訊安全的認知與執行。然而，員工普遍認為資訊安全政策繁瑣且無法直接帶來業務價值，導致執行成效不彰。這樣的現象反映出，企業若忽略內部關注方（如員工）的需求及動機，將難以真正落實資訊安全管理。

瞭解關注方需求：從動機心理學剖析

根據托德·亨利（Todd Henry）在《工作動機心理學》中的研究，員工的內在驅動力可分為六大類，其中包括夢想家型、實現者型、團隊成員型、學者型、優化者型與靈魂人物型。若企業能識別不同員工的動機來源，便能更有效地引導他們投入資訊安全管理。

1.夢想家型員工：對未來願景充滿熱情，企業可透過強調資訊安全如何提升品牌信譽與競爭力，使其主動參與資安政策的制定與推廣。

2.實現者型員工：渴望挑戰並完成目標，可透過設定資訊安全KPI，如降低資安事件數量，來激勵他們投入資安改善專案。

3. 團隊成員型員工：重視協作與團隊精神，企業可建立內部資安大使團隊，讓他們成為資安文化的推動者。
4. 學者型員工：樂於學習新知，透過提供資安相關的進階課程與證照考取機會，使其自發提升資安技能。
5. 優化者型員工：擅長流程改進，企業可賦予他們權責，參與資安政策優化，以提升執行效率。
6. 靈魂人物型員工：熱衷於領導變革，企業應讓這類員工參與跨部門資安專案，發揮其影響力。

透過資訊安全管理系統因應關注方需求

ISO 27001:2022要求企業識別關注方並了解其需求（條文4.2）。在3C公司的案例中，內部關注方（員工）對資訊安全的態度與動機，直接影響企業是否能有效落實ISMS。因此，公司應將動機心理學納入資安管理策略，透過以下方式因應員工需求：

1. 建立個人化資安學習路徑：依據員工的動機類型，設計不同層次的資安培訓，例如對學者型員工提供深入技術研討，而對團隊成員型員工則透過情境模擬加強學習。
2. 導入獎勵機制：不僅僅是金錢獎勵，還應包含成就感的提升，如公開表揚資安表現優異的員工。
3. 設計更直覺的資安流程：優化者型員工可協助簡化資安政策，使其更易於執行。
4. 高層領導支持與示範：靈魂人物型員工若能獲得高層支持，將更願意推動資安變革。

資訊安全管理不只是技術層面的議題，更涉及員工的行為與動機。企業若能理解內部關注方的需求，並結合動機心理學的方法，將更容易落實ISO 27001:2022的要求。3C公司的案例顯示，當企業能夠針對不同動機類型的員工提供適切的資安參與機會，將能有效提升資安管理的執行力，並在競爭市場中建立更穩固的信譽。