我離開之後：3C 公司的資安指南

3C 公司的資訊長（CISO）常說：「資訊安全就像父母的愛，當你擁有時，可能不會特別珍惜；但一旦失去，就會發現它有多重要。」

這讓人想起一本感人至深的書——《我離開之後：一個母親給女兒的人生指南》，作者以溫暖且幽默的筆觸，讓女兒面對母親離世後的生活不會手足無措。而在資訊安全領域，我們是否也該為企業制定一份「我離開之後」的指南，確保當關鍵決策者、資安負責人或技術人員變動時，企業仍能穩定運行？這正是 ISO 27001:2022 條文 4.2「瞭解關注方之需要及期望」的核心精神。

資訊安全中的關注方與需求

根據 ISO 27001:2022 條文 4.2，企業應明確界定與資訊安全管理系統（ISMS）相關的關注方，並確保這些需求能夠被妥善因應。對 3C 公司而言，主要的關注方包括：

1. 內部員工：需要明確的安全政策，確保日常操作不會無意間造成資安風險。
2. 客戶：期待企業能妥善保護個資，避免洩露或濫用。
3. 合作夥伴：供應商與第三方系統須遵循企業的資安標準，確保數據交換的安全性。
4. 監管機構：確保符合個資法（GDPR、台灣個資法）與 ISO 27001 規範，以避免法律責任。

當關鍵角色離開，企業應如何維持資安穩定？

企業如同家庭，當某個關鍵成員離開時，若無完整的指引與交接，可能會造成混亂與風險。根據研究，企業若未能清楚記錄資安流程，離職交接不當可能導致 60% 以上的內部資安事件。因此，3C 公司參照 ISO 27001:2022 條文 4.2，制定以下措施：

1. 建立資安責任轉移計畫 企業應在員工離職或職務調動時，確保所有權限、憑證、合約義務能夠順利轉移。例如，透過 IAM（Identity and Access Management）系統 自動撤銷離職者的存取權限，降低潛在風險。
2. 制定「緊急應變筆記」 研究顯示，企業若能為關鍵角色準備「應變手冊」，可減少 80% 因突發人事變動導致的營運中斷。3C 公司參考《我離開之後》的概念，建立「資安負責人指南」，內容包括： 關鍵系統帳號與權限交接程序。 資安政策與重要法規的摘要。 緊急事件處理流程與聯繫窗口。
3. 確保法律與契約義務的持續性 根據研究，當企業未能清楚傳達資安契約內容時，合作夥伴與供應商的違規風險將提高 45%。因此，3C 公司確保所有關鍵合約都包含 資訊安全條款，即便負責人更替，企業仍能持續履行法規與契約責任。

結語：資訊安全應該是永續的，不應依賴個人

母親為女兒寫下人生指南，是為了讓愛與智慧得以延續；而企業為資安建立完整的標準與交接流程，則是為了確保營運能夠長久穩定。ISO 27001:2022 條文 4.2 不只是標準，而是一種保障企業永續發展的智慧。