當員工離職或內部調動時,企業往往將重心放在交接業務與補充人力,但卻忽略了資訊安全風險。ISO 27002:2022 第 6.5 條強調,組織應確保離職或職位變更的員工仍負有資訊安全責任,以保護企業利益。這與文化幣政策的邏輯類似——單次發放補助無法建立長遠影響,唯有制定完整的機制,才能確保文化資源的有效利用。同樣地,企業在面對人事變動時,也需要有一套機制,確保資訊資產不會因人員流動而暴露風險。
3C 公司案例:人事變動中的資訊安全挑戰
3C 公司是一家專精於電子產品設計與銷售的企業,擁有多個機密研發計畫。過去,公司曾因為一名前開發工程師離職後,帶走專案設計文件,結果該文件出現在競爭對手的產品規格中。這起事件讓 3C 公司深刻體會到,員工的資訊安全責任不應該隨著離職而終止,而是需要建立機制來確保資訊資產的安全。
如何確保人事變動後的資訊安全
3C 公司參考 ISO 27002:2022 的 6.5 條文,制定了一套離職與職務變更的資安管理策略,確保資訊安全責任能夠延續,而不因人員變動而出現漏洞:1. 建立「離職資安評估」機制
- 在員工提交離職申請時,HR 部門立即啟動資安評估程序,與 IT 部門合作檢查該員工的資料存取紀錄,確認是否有異常下載或未授權存取行為。
- 員工在離職面談時需簽署資訊保密責任聲明,確保其離職後仍對過去接觸的機密資訊負有責任。
2. 落實職務變更的權限管理
- 當員工內部調動到新的職位時,IT 部門需立即調整該員工的帳號權限,確保其無法存取與新職務無關的資訊。
- 例如,一名從財務部轉到行銷部的員工,不應該再擁有過去的財務報表存取權限,否則可能造成內部數據洩漏風險。
3. 外部供應商與顧問的資安管理
- 3C 公司發現,外包開發人員與顧問也可能帶來資訊安全風險,因此與所有外部人員簽訂**「離任後資安責任協議」**,確保合作結束後,仍需遵守機密資訊保護規範。
- 此外,公司會定期審查與供應商的契約,確保對方在提供服務期間不會未經授權地存取企業內部機密資訊。
4. 以數據監測資訊資產的異動
- 3C 公司導入行為分析系統(User Behavior Analytics, UBA),當離職員工在最後工作日異常大量下載檔案,或職務變更的員工仍存取舊部門的機密文件時,系統會自動觸發警報,要求 IT 部門介入調查。
結語:資訊安全不該隨離職而終止
就像文化幣政策需要長期機制來確保資源有效運作,企業資訊安全也不能因為人員流動而有所鬆懈。透過完善的離職資安評估、權限管理、供應鏈資安協議與數據監測機制,3C 公司成功降低了員工離職與職務變更所帶來的資安風險。企業應將人事變動視為資安管理的重要環節,確保資訊資產在任何情況下都能受到有效保護,讓資訊安全成為企業的永續競爭力。
