3C金融公司：從「少力設計」打造實戰型資安教育訓練

3C金融公司是一家專注於數位支付的中小型金融科技公司，近期準備參與一項大型銀行合作案。然而，在合約審查時，對方銀行資安稽核團隊要求：「貴公司是否有完整的資訊安全教育訓練機制？如何確保員工確實理解資安規範？」這讓創辦人 Jason 面露難色—3C 金融是一家資源有限的新創公司，沒有像大型銀行那樣完備的內部資安訓練制度，該如何應對？

這時，他想起《服務隨創：少力設計的邏輯思維》中提到的：「遭遇制約時，先不急著去『解決』，而需著力於『解讀』。」Jason 開始思考：

• 資訊安全教育訓練真的要「大而全」嗎？
• 能否用少量資源，創造高效的教育訓練機制？
• 如何確保資安意識內化，而不只是讓員工「應付考試」？

這些問題正好呼應了 CNS 27002:2023 6.3 條文 的核心精神：「確保人員及相關關注方認知，並履行其資訊安全責任。」Jason 於是決定，利用「少力設計」的方法，讓資安教育訓練變得簡單、有效、可持續。

1. 從「填鴨式課程」轉向「體驗式學習」

傳統的資安訓練，往往是 IT 部門或外聘講師進行制式講解，員工坐在會議室裡聽講，最後考一張選擇題測驗。問題是，這樣的學習方式沒有實戰感，員工很快就忘記了。

Jason 決定，利用 行為心理學的「情境學習法」，讓員工親身體驗資安風險：

• 「駭客來了！」桌遊演練
  讓員工分組，模擬駭客如何利用社交工程攻擊企業，例如釣魚郵件、假冒客服詐騙等。這種方式比單純上課更能讓員工理解攻擊手法。
• 「30秒決策挑戰」
  設計日常工作中的資安抉擇題，例如「某高層主管透過私人LINE帳號請求匯款，你會怎麼做？」透過短時間內的決策模擬，強化員工風險意識。

結果，這些活動大受歡迎，員工開始自發性地討論資安問題，而不是覺得資安培訓只是例行公事。

2. 以「逆強論」打造分級資安訓練機制

蕭瑞麟在《服務隨創》中提到：「以弱之強，攻強之弱。」3C 金融沒有大企業的培訓資源，但能夠利用敏捷策略，設計出適合中小企業的資安教育訓練機制：

1. 「新手、進階、專家」三級制
2. • 新手級（所有員工）：基礎資安認知，如強密碼設定、釣魚郵件辨識。
   • 進階級（IT 員工、主管）：學習 API 安全管理、數據保護機制。
   • 專家級（資安管理人員）：參加國際資安論壇、攻防演練。
2. 「每月 5 分鐘，累積資安意識」
3. • 透過 短影片、內部 Podcast、遊戲測驗，讓員工用零碎時間學習資安，降低學習負擔。
3. 「滾動式課程更新，融入最新資安趨勢」
4. • 例如 2023 年 ChatGPT 興起，公司立即製作「AI 駭客詐騙指南」，提醒員工新型態的社交工程風險。

3. 溝通心理學應用：讓資安意識真正內化

Jason 了解，教育訓練的真正目標不是「通過測驗」，而是讓員工把資安意識變成習慣。根據研究，員工對資訊安全的接受度，取決於訓練是否與日常工作產生聯繫。

為此，3C 金融導入：

• 「主管帶頭示範文化」
• • 讓高層主管主動參與資安訓練，強化組織對資訊安全的重視。
• 「資安大使計畫」
• • 選出內部資安倡導者，每月分享一個「資安案例」，讓員工能從身邊同事學到安全知識。

這些策略讓資安意識不再是 IT 部門的責任，而是整個組織的文化。

結論：資訊安全教育訓練，不只是「學習」，更是「實踐」

透過 CNS 27002:2023 6.3 條文的指引，3C 金融重新思考資訊安全教育訓練的真正目的，並應用「少力設計」的理念，設計出更具彈性、實戰感的學習方式。Jason 最後總結：

• 資安培訓不是例行公事，而是組織韌性的一部分。
• 與其強制學習，不如讓員工親身體驗，內化安全習慣。
• 資訊安全不該只是 IT 部門的事，而是全公司共同的責任。

這套新的資安教育訓練方案，不僅讓 3C 金融順利通過銀行審查，也大幅提升了員工的資安意識，為公司長期發展奠定了更穩固的基礎。