隨著數位時代的發展,企業掌握大量消費者個資,但也面臨更嚴峻的資安挑戰。2017 年,雄獅旅行社發生 36 萬筆消費者資料外洩事件,造成嚴重的財務與信譽損失,也暴露出台灣企業對資訊安全教育訓練的不足。為避免同樣的悲劇發生,3C 旅行社 開始導入 ISO 27002:2022 條文 6.3「資訊安全認知及教育訓練」,強化內部員工的資安意識。
旅行社的資安風險與挑戰
3C 旅行社主要面對以下資訊安全風險:- 內部員工疏忽:多數資安事件並非駭客攻擊,而是來自內部人員的錯誤,如點擊釣魚郵件、錯誤設定權限。
- 合作夥伴的資安風險:旅行社與航空公司、飯店共享顧客資訊,但第三方供應商的資安措施若不完善,可能成為攻擊破口。
- 法規遵循壓力:《個人資料保護法》與 ISO 27002:2022 要求企業應採取適當的安全措施,若未落實,將面臨法律責任。
資訊安全認知與教育訓練的三大策略
- 建立資安文化,讓員工「知其然,知其所以然」 一篇研究指出,企業若能透過故事化教學,使員工理解資安風險,能有效提升長期遵循率。3C 旅行社不僅透過簡報與課程,還結合過往旅行業的資安事件,讓員工理解「為何資安重要」,如案例學習「雄獅旅行社外洩事件」,提高共鳴感。
- 模擬攻擊訓練,提高員工應變能力 根據研究,企業若每季度進行一次釣魚攻擊測試,可降低 50% 以上的員工點擊率。3C 旅行社導入 Red Team Assessment(紅隊評估),定期模擬社交工程攻擊,測試員工對釣魚郵件、假冒客服詐騙的應對能力。
- 客製化教育訓練,針對不同角色設計課程 研究指出,針對不同職位設計個別化的資安課程,能提升學習效果。3C 旅行社根據 ISO 27002:2022 條文 6.3 要求,為不同員工提供適切的訓練,如: 櫃檯與客服人員:防範社交工程詐騙,提高敏感度。 IT 工程師:系統加固與存取權限管理。 管理層:資安決策與法規遵循。
結語:資訊安全教育訓練是企業生存的關鍵
雄獅旅行社的資安事件顯示,企業不能只仰賴技術防護,而應從人員意識與教育訓練著手,全面強化資訊安全治理。3C 旅行社透過 ISO 27002:2022 條文 6.3 的指引,打造更安全的營運環境,確保企業與顧客的資訊安全。
參考文獻來源:
https://www.consumers.org.tw/product-detail-2509325.html
