66金融保險的資安課堂：為什麼資訊安全教育比防火牆更重要？

「我們的資安防禦已經很完善了，還需要這麼多教育訓練嗎？」

這是66金融保險公司資安長（CISO）林經理最常被問到的問題。的確，公司已經部署了最新的防火牆、入侵偵測系統、資料加密技術，但仍然在去年發生了多起資訊安全事件。

問題不在技術，而在人。

資訊安全教育訓練，是企業資安的最後一道防線

根據ISO 27001與ISO 27002的6.3指引，資訊安全教育訓練標準，所有員工，不論是業務、客服、法務、財會，甚至是行政人員，都應該具備基本的資安認知。

因為駭客攻擊的最弱點，往往是人，而不是系統。

66金融保險最近就發生了一起社交工程攻擊，某位資深業務收到一封看起來像來自客戶的電子郵件，請他開啟附件核對保單資料。結果，這封郵件內嵌惡意程式碼，導致客戶資料被竊取，甚至被用來進行詐騙。

66金融保險的資安教育改革：從「死板課程」變成「企業文化」

66金融保險過去的資安教育訓練，多半是制式的線上課程，員工只要看完影片、點選「我已閱讀」，就能通過。這種模式完全無法確保員工真的理解資訊安全的重要性。

為了改變現狀，公司推動了三大資安教育創新策略，讓資安訓練不再只是「應付了事」，而是變成「企業日常文化」。

第一步：讓資安變成日常挑戰，而不是年度測驗

🔹 「駭客挑戰賽」：以實戰體驗強化資安意識

• 每個月公司會安排模擬釣魚郵件，看看哪些員工會不小心點開。
• 若員工誤點，會立刻跳出「這是一封模擬攻擊，你已中招！」的畫面，並提供短短幾分鐘的正確應對方式。
• 這種方法比傳統課堂教學更有效，因為員工能立即學到實際應用的技能，而不是單純聽理論。

🔹 「資安大逃殺」桌遊：團隊合作學資安

• 讓員工分組，模擬金融詐騙事件，看看誰能正確應對駭客攻擊，勝出的隊伍可獲得小獎勵。
• 這種方式比死背法規更有趣，也能讓員工真正理解「資安不只是技術，而是決策習慣」。

第二步：讓資訊安全與每個人的工作息息相關

🔹 業務單位：「如何用安全的方式傳遞客戶資料？」

• 針對業務團隊，開設「客戶個資傳遞風險管理」，讓他們了解電子郵件、即時通訊軟體如何加密傳送文件，避免外洩。

🔹 客服單位：「如何防止社交工程攻擊？」

• 客服最常接到偽造客戶身分的來電，所以專門設計「電話社交工程測試」，定期測試員工是否能識破假客戶，並提供標準應對SOP。

🔹 法務與財會：「資安法規與風險管理」

• 讓財務與法務人員了解最新金管會資安規範、ISO 27001標準，以及金融科技詐騙案例，確保合規。

第三步：讓資訊安全不只是訓練，而是企業文化

🔹 「資安英雄」計畫，讓員工成為資安守護者

• 每個部門指定一位資安大使，負責定期向團隊分享最新資安趨勢、詐騙案例，確保資安意識能夠持續提升。

🔹 透明報告資安事故，建立信任文化

• 過去，員工害怕回報資安問題，擔心被懲罰。但66金融保險現在鼓勵員工主動通報，甚至設立獎勵機制，對於發現重大安全漏洞的員工，提供獎金或晉升機會。

結語：資訊安全的成功，取決於員工，而非技術

66金融保險在導入這套以人為本的資安訓練模式後，在短短半年內，就發現：

• 釣魚郵件點擊率顯著降低
• 客服接獲可疑電話時的回應正確率明顯提升
• 內部通報資訊安全事件的頻率明顯增加，顯示員工更有資安意識

企業的資安問題，從來不是設備、系統不夠強，而是員工是否具備防禦能力。讓每一位員工都成為資安守護者，才是真正的資訊安全。

這不只是「一場訓練」，而是「一場企業文化的變革」！