3C 旅行社的資安風險故事:人員離職該有的控制措施
在 2017 年雄獅旅行社個資外洩事件後,許多企業開始重新審視資訊安全管理,特別是人員聘用終止或職務變更後的資訊安全風險。3C 旅行社作為台灣中型旅遊業者,也面臨相似的挑戰,尤其是員工離職或職務調整時,是否能確保機密資訊不外流,成為管理層的重大關切。
企業面對的資安挑戰
根據 ISO 27002:2022 條文 6.5,「聘用終止或變更後之責任」強調,組織應對員工在離職或變更職務後,仍應保持適當的資訊安全責任。3C 旅行社在過去一年內,曾經歷三起與離職員工相關的資訊外洩風險,問題主要出現在:
- 前員工仍能存取內部系統:某位 IT 人員離職後,帳號並未及時停用,導致其仍能存取內部旅遊訂單系統。
- 合作廠商的合約未妥善管理:部分業務外包給第三方公司,合約終止後未回收機密文件,導致消費者資料可能被未授權使用。
- 內部人員變更未落實交接:客服主管異動後,舊帳號仍持續接收客戶查詢,造成管理混亂。
ISO 27002:2022 的解方:3C 旅行社如何改善?
為了降低風險,3C 旅行社採取了以下措施,以符合 ISO 27002:2022 條文 6.5 的要求:
- 建立「離職與職務變更資訊安全管理機制」 研究指出,企業若能在離職流程中落實資訊權限回收,可減少 80% 的潛在資安風險。3C 旅行社規定,所有員工離職時,HR 必須確保 IT 部門立即停用其帳號,並檢查是否仍有未關閉的存取權限。
- 制訂合作夥伴資訊安全契約 根據研究,企業與外包廠商合作時,應明確訂定離職或合約終止後的資訊安全責任。3C 旅行社將 ISO 27002:2022 條文 6.5 列入合約條款,確保外包商在服務結束後,需歸還或銷毀所有涉及客戶個資的文件與系統存取權限。
- 導入自動化帳號管理與交接機制 研究發現,導入 IAM(Identity and Access Management,身分與存取管理)系統可減少 90% 的帳號遺留風險。3C 旅行社部署 IAM 系統,確保當員工異動時,帳號自動停用或轉移給新負責人,避免未授權存取問題。
結語:人員流動是企業的挑戰,但資訊安全不能鬆懈
3C 旅行社的案例提醒我們,資訊安全管理不僅限於技術層面,人力資源的管理流程也至關重要。ISO 27002:2022 條文 6.5 提供了一個清晰的方向,確保離職或職務變更後,企業仍能維護資訊安全,減少資料外洩的風險。
留言0
查看全部
你可能也想看
Google News 追蹤
2025 年,從分享精彩的 #Myvocus2024 年度回顧開始!
#Myvocus2024 年度回顧通知已送達
vocus 的 2024 有超過 12 萬筆訂單、35 萬則以上的內容、16 萬以上的新會員、4 千+ 筆數位商品訂單,5 萬 + 則貼文!
曬曬你的 2024 vocus 吧!
相信大家現在都有在使用網銀的習慣
以前因為打工和工作的關係,我辦過的網銀少說也有5、6間,可以說在使用網銀App方面我可以算是個老手了。
最近受邀參加國泰世華CUBE App的使用測試
嘿嘿~殊不知我本身就有在使用他們的App,所以這次的受測根本可以說是得心應手
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
在當今數位化的時代,企業資訊安全已經成為了極為重要的議題。隨著科技的不斷進步,網路犯罪的手法也層出不窮,對企業的資訊安全造成了嚴重的威脅。面對這一挑戰,企業應該如何有效地保護自身的資訊安全呢?
平日裡喜歡輕鬆愉快地生活,但有些事情還是得認真對待( • ̀ω•́ )
今天跟大家分享資訊安全問題,你有沒有被網站詐騙的經驗呢?
在這個數位時代,我們大多數人都會在網上進行各種活動,從購物到瀏覽新聞,甚至處理金融交易。但是,隨之而來的風險也不容忽視。有時候,我們可能會遇到一些看似正常的企業網站,
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。
除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。
在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。
2025 年,從分享精彩的 #Myvocus2024 年度回顧開始!
#Myvocus2024 年度回顧通知已送達
vocus 的 2024 有超過 12 萬筆訂單、35 萬則以上的內容、16 萬以上的新會員、4 千+ 筆數位商品訂單,5 萬 + 則貼文!
曬曬你的 2024 vocus 吧!
相信大家現在都有在使用網銀的習慣
以前因為打工和工作的關係,我辦過的網銀少說也有5、6間,可以說在使用網銀App方面我可以算是個老手了。
最近受邀參加國泰世華CUBE App的使用測試
嘿嘿~殊不知我本身就有在使用他們的App,所以這次的受測根本可以說是得心應手
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
在當今數位化的時代,企業資訊安全已經成為了極為重要的議題。隨著科技的不斷進步,網路犯罪的手法也層出不窮,對企業的資訊安全造成了嚴重的威脅。面對這一挑戰,企業應該如何有效地保護自身的資訊安全呢?
平日裡喜歡輕鬆愉快地生活,但有些事情還是得認真對待( • ̀ω•́ )
今天跟大家分享資訊安全問題,你有沒有被網站詐騙的經驗呢?
在這個數位時代,我們大多數人都會在網上進行各種活動,從購物到瀏覽新聞,甚至處理金融交易。但是,隨之而來的風險也不容忽視。有時候,我們可能會遇到一些看似正常的企業網站,
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。
除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。
在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。
要打造一個密不可破的防護網,企業端就不能夠缺席。
舉幾個例子讓大家知道。