在台灣某家 3C 企業裡,資安主管阿志遇到了一個棘手的問題——公司的資深工程師小王即將離職,但他的帳號、系統權限、機密資料存取仍未清楚交接。更棘手的是,小王不滿公司政策,對於交接過程消極應對,甚至抱怨:「為什麼離職還要被管這麼多?」阿志想起《被討厭的勇氣》中阿德勒的名言:「所謂的自由,就是被別人討厭。」
ISO 27001:2022 6.5「聘用終止或變更後之責任」,正是為了解決這類問題,確保離職或職位變更的員工依然需要負責資訊安全,避免組織利益受損。為何離職員工仍需資安管理?
根據 6.5 條文,企業需定義並施行資訊安全義務,確保以下關鍵事項:
- 確保機密資訊的完整性與保密性(如智慧財產權、客戶資料等)。
- 交接與存取權限移轉,避免前員工仍能存取系統。
- 持續適用資安合約義務,如保密協議(NDA)。
這些措施雖然可能讓某些員工不滿,甚至產生「被監控」的錯覺,但從組織風險管理角度來看,這些規範至關重要。
從心理學角度理解「被討厭的勇氣」
動機心理學指出,人們接受新政策的程度,取決於是否感受到自主性、勝任感與關聯性。
- 自主感(Autonomy):讓離職員工了解資訊安全規範不是對個人的不信任,而是保護企業與其他員工。
- 勝任感(Competence):提供清楚的資安交接流程,讓離職員工能夠順利配合。
- 關聯感(Relatedness):強調每位員工離開時的資安責任如何影響整體組織。
此外,溝通心理學研究指出,人們接受改變的過程分為五個階段,企業若能循序漸進地傳遞資安意識,將有助於降低抗拒。
讓 ISO 27001 6.5 成為企業文化的一部分
最終,阿志與 HR 部門合作,建立了標準化的離職資安管理流程:
- 離職前兩週:HR 提醒資安部門,開始帳戶與權限審查。
- 最後一週:資安部門與主管確認所有文件、系統存取已交接完成。
- 離職當天:執行正式交接,要求簽署資訊安全承諾書。
- 離職後六個月內:持續監測相關系統,確保未發生異常存取。
透過這些措施,公司不僅強化了資安機制,也降低了離職員工的不滿,讓資訊安全管理真正內化為組織文化的一部分。
