在台灣中小企業推動ISO 27001:2022資訊安全管理系統(ISMS)時,常遇到的問題是員工缺乏執行意願,導致安全政策落實困難。然而,這種現象並非因為員工懶惰,而是因為資訊安全政策與他們的「即時滿足」需求產生衝突。本文透過3C公司的案例,探討如何運用動機心理學的觀點,使資訊安全管理能夠真正落地。
3C公司是一家中型電子產品製造商,近期接獲國際客戶要求,必須通過ISO 27001:2022認證。然而,公司內部員工對於資訊安全措施感到繁瑣且無法立即見效,導致遵循度低。例如,某些員工習慣透過私人雲端儲存工作文件,即便明知這樣的行為存在資訊安全風險,仍因其便利性而選擇忽略資安政策。這類行為反映出企業內部「關注方需求」與資安要求之間的落差。
關注方需求與即時滿足心理
根據ISO 27001:2022條文4.2,組織應識別關注方及其需求:(a) 內部員工、供應鏈夥伴、客戶與法規機構皆屬關注方;(b) 這些關注方對資訊安全有不同的期待與要求;(c) 組織應決定如何透過資訊安全管理系統來滿足這些需求。
然而,許多員工的需求來自於即時滿足的動機心理學。根據安迪·拉梅奇(Andy Ramage)的研究,傳統觀點認為「延遲滿足」是成功的關鍵,但實際上,許多人因無法等待長期回報而失去動力。因此,在資訊安全推動上,企業應考慮如何透過「即時滿足」來提升員工的遵從度。
透過動機心理學提升資訊安全執行力
1.將資訊安全與短期回饋結合:例如,設計即時反饋系統,當員工遵守資安政策(如使用企業內部雲端儲存)時,立即給予正向回饋或小型獎勵。
2.微目標設定:與其要求員工全面改變行為,不如將資訊安全策略拆解成簡單易行的小步驟,如「每天登入企業VPN一次」或「避免將機密文件儲存於私人雲端」,使員工更容易達成目標。
3.創造群體動能:建立資安競賽或積分制度,透過團隊合作提高員工參與度,使資訊安全變成公司文化的一部分。
4.設計無痛的安全流程:許多員工抗拒資訊安全措施的原因在於它們影響日常工作效率。因此,公司應優化流程,確保資訊安全規範不會帶來過多額外負擔。
企業在落實ISO 27001:2022時,應不僅考量技術面,也要考量員工的心理需求。3C公司的案例顯示,若企業能夠理解員工的即時滿足動機,並透過適當策略讓資安規範成為日常工作的一部分,將能更順利地推動資訊安全管理。
