3C金融保經公司的資安挑戰故事：資安教育訓練的必要性

近年來，台灣金融業的資安風險日益增加，尤其是保險經紀公司，因個資管理與內部控制的漏洞，屢遭金管會開罰。其中，富士達保險經紀人股份有限公司的案例，正好讓我們從 ISO 27002:2022 6.3 資訊安全認知及教育訓練 的角度，來探討資訊安全教育訓練的關鍵性。

一、資安意識不足帶來的風險

富士達的裁罰內容顯示，該公司在客戶溝通、招攬制度、內部控制、網站安全等方面皆存在嚴重缺失，例如：

1. 未向客戶清楚解釋保險條款，導致商品資訊未能正確傳達。
2. 內部稽核機制不完善，缺乏異常交易檢查與業務員的有效管理。
3. 網站個資保護機制不足，未使用加密技術保護個人資料，違反個資法。

這些問題的根本原因之一，是資訊安全意識的缺乏。如果組織內部的員工，從高階主管到基層業務員，沒有足夠的資訊安全認知，就算公司有內控制度，也很難真正落實。

二、ISO 27002:2022 6.3 條文的啟示

ISO 27002:2022 6.3 資訊安全認知及教育訓練 強調：

• 資安教育訓練應與企業政策、法規及內部作業規範一致，並定期更新。
• 認知計畫需涵蓋組織所有人員，並針對不同角色量身打造訓練內容。
• 應該透過多元方式，如宣導、電子學習、實體課程，強化員工的資安意識。

在 3C 金融公司的案例中，如果公司在內部建立強化資安教育訓練的機制，例如：

• 要求業務員參加資安認知課程，確保他們理解如何正確處理客戶個資，並落實合規要求。
• 設計符合 ISO 27001 的內部稽核培訓，讓資安與法遵團隊能更有效檢測內部風險。
• 網站與 IT 人員定期接受加密技術訓練，提升對個資加密、隱私保護的技術理解。

這些措施將有助於減少資訊安全違規，降低公司因資安疏忽導致的罰款與商譽損害。

三、從心理學角度看資安教育的有效性

溝通心理學與教育心理學的研究顯示，員工對資訊安全的態度與行為，與他們的風險感知、獎懲機制及組織文化息息相關。如果資安訓練只是單向傳遞規範，員工的行為改變效果有限。因此，應採用以下策略：

1. 情境式教學（Scenario-based training） 讓員工透過模擬攻擊與案例分析，親身體驗資訊外洩的影響。
2. 行為強化機制（Behavioral reinforcement） 建立明確的獎勵與懲罰制度，例如成功通報社交工程攻擊的員工，可獲得額外獎勵，反之，未遵守資安規範的員工需接受額外訓練。
3. 持續學習與強化（Continuous reinforcement learning） 透過定期測驗、短影片、遊戲化學習等方式，加深員工對資安規範的記憶。

四、台灣中小企業的資安教育挑戰與機會

許多中小企業管理者認為，資安教育訓練是「大企業才需要的東西」，但事實上，台灣的中小企業更容易成為資安攻擊的目標，因為資源較少、內控機制較不完善。參考 ISO 27002:2022 的建議，中小企業可採取：

• 簡單的 e-learning 平台，讓員工能隨時學習資安知識。
• 導入「資訊安全大使」制度，培訓資安關鍵人員，由內部推動資安文化。
• 結合 ISO 27001 認證，建立正式的資訊安全管理架構，提升企業競爭力。

富士達保險經紀人公司的案例提醒我們，資訊安全意識不足會帶來嚴重的法律與商譽風險。ISO 27002:2022 6.3 資安教育訓練條文 提供了具體的改善方向。無論是大型金融機構，還是台灣的中小企業，資安訓練都應該是一項持續進行的策略，而不是等到發生問題後才來補救。

參考文獻來源:

https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202009180005&dtable=Penalty