2021 年 2 月,泛亞保險經紀人股份有限公司因業務員冒用客戶個資辦理保單,且未落實內部審查與電訪流程,被金管會裁罰 30 萬元並限期改正。這類違規事件並非個案,從資訊安全管理的角度來看,泛亞保經的問題不只是個別員工的不當行為,而是整體內控與資安管理文化的失敗。
企業若未能建立強而有力的資訊安全內部控制機制,即使有 ISO 27001 認證,也可能因內部稽核、教育訓練、員工風險意識等因素的缺失,而導致重大違規事件。本文將從 ISO 27002:2022 6.3「資訊安全認知及教育訓練」 的角度,探討企業內控失敗的深層原因,並提出創新的解決方案。
一、泛亞保經事件的內控失敗關鍵
泛亞保險經紀人違規的核心問題,不僅是業務員的不當行為,更顯示出企業資訊安全管理的三大漏洞:- 內部稽核機制失效 業務員冒用客戶個資,代表公司缺乏強化的內部核對與驗證程序,未能即時發現異常交易。 客戶信用卡遭擅自使用,顯示公司未建立強制性授權核准流程,風險控制不足。
- 資安意識不足,導致違規行為未能及時察覺 業務員可能未經過充分的資訊安全教育訓練,因此未能理解個資保護的合規要求。 內部審查與電訪流程的鬆散執行,顯示管理層與員工對資訊安全的風險感知不足。
- 資訊安全文化缺失,缺乏「可歸責性」機制 內控體系缺少「個人可歸責性」(Personal Accountability)制度,使員工缺乏對資安責任的認知與警覺。 沒有即時的內部通報機制,使資安事件未能被及時揭露與修正。
這些問題的核心在於,企業的資安管理不是靠技術或標準就能解決,人的行為、組織文化、管理制度才是真正的風險關鍵點。
二、為何傳統資安教育訓練無法解決問題?
傳統企業的資訊安全教育訓練,往往只是「一年一次的例行課程」或「新員工入職培訓」,但這種方式對於內部控制並沒有實質幫助,主要有以下幾個原因:
- 缺乏互動,資安規則難以內化 傳統資安課程多以 PPT 簡報、單向教學為主,員工學完後往往難以真正落實在工作中。
- 無法對應不同職位的需求 IT 人員、業務員、稽核員、客服人員的資訊安全需求不同,但大部分企業的教育訓練都是「一套教材全員適用」,導致許多員工的實際風險意識不足。
- 沒有定期強化與測試機制 即使員工受過資安訓練,若沒有持續的提醒與強化,學習效果會隨時間下降,最後變成「形式上的合規」而非「真正的行為改變」。
這些問題說明,企業若要強化資訊安全管理,不能只靠傳統課程,而需要更具創新性的教育訓練方法。
三、ISO 27002:2022 提供的創新資安教育解方
根據 ISO 27002:2022 6.3 條文,資訊安全認知與教育訓練的目標在於:
- 確保所有員工理解並履行其資訊安全責任。
- 建立符合組織實際需求的資安學習計畫,並定期更新與測試。
- 採取互動式學習與實境模擬訓練,讓員工真正掌握資安風險與應對策略。
為此,企業可以採取更創新的資安教育策略,如:
1. 運用「資安遊戲化學習」(Gamification)提升員工參與度
ISO 27002:2022 建議企業透過多樣化的學習模式,例如:
- 資安情境測驗遊戲(Scenario-based security quiz):讓業務員在模擬環境中學習正確處理個資與合規風險。
- 「駭客攻防戰」桌遊訓練(Cybersecurity tabletop exercise):讓員工體驗駭客如何發動社交工程攻擊,並學習如何應對。
- 「業務員資安挑戰賽」:設計企業內部的競賽,透過實境案例讓業務員學習如何安全處理客戶個資。
2. 建立「內部資安大使」制度
許多企業的 IT 部門人數有限,無法長期監控所有部門的資安行為。因此,ISO 27002:2022 建議:
- 培養各部門的資安大使(Security Ambassadors),由業務主管或資深員工擔任資安推動角色,確保資安意識在各部門內部落實。
- 定期舉辦資安討論會議,由資安大使與員工分享最新資安趨勢與內部違規案例,加強警覺性。
3. 設計「AI 驅動的動態資安訓練」
- 利用 AI 技術追蹤員工的學習行為,提供個人化的資安訓練內容。
- 建立「即時風險警報系統」,當員工在工作中有違規行為(如點擊可疑連結、下載未授權文件)時,AI 立即發送教育提醒,確保即時矯正。
這些創新方法不僅能提高員工的資安意識,也能幫助企業真正落實資訊安全內控管理。
泛亞保險經紀人的違規事件提醒我們,企業的資安管理不能只依賴技術與法規,而是要從教育訓練、內部控制、行為改變、組織文化等層面全面改善。ISO 27002:2022 6.3 資安教育訓練條文 為企業提供了最佳的管理指引,但真正的挑戰在於如何落實。
資訊安全不是 IT 部門的責任,而是全體員工的責任。只有透過創新且符合人性的教育訓練,企業才能真正建立起「以安全為核心的組織文化」,避免下一個泛亞保經事件的發生。
參考文獻來源:
https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202102040001&dtable=Penalty
