「頂大生不吃香了?」這類新聞標題,反映出台灣中小企業常見的用人焦慮:企業希望招募高學歷人才,卻無法長期留住;相較之下,普通學歷員工雖穩定,但學習與適應速度較慢。這不只是人力資源管理的挑戰,更可能成為資安管理上的隱形風險。
ISO 27002:2022 條文 6.5 明確指出,企業應對聘用終止或變更後的資訊安全責任進行定義、執行並傳達,以確保組織利益不因人員流動而受損。然而,台灣許多企業在人員管理上,僅關注如何「降低流動率」,卻忽略了更重要的問題:「離職的人帶走了什麼?留下的人又掌握了什麼?」
根據資訊管理領域的研究,企業應用資訊安全政策時,應將內部知識管理視為核心資產,特別是在高流動率的環境中。然而,許多企業只在員工入職時要求簽署保密協議(NDA),對於離職時的資訊交接、權限收回、機密資料移轉控制卻缺乏明確規範。例如,某台灣科技公司因忽視離職程序,導致一名前員工帶走完整的專案架構,跳槽到競爭對手後,讓企業損失數千萬業務機會。
ISO 27002 6.5 建議企業應確保:「所有離開或變更工作角色之個人所承擔的資訊安全責任,宜加以識別並轉移予另一人」。這意味著,企業不該只聚焦在「如何留住人」,而應更關注「如何管理即將離開的人」。
心理學觀黯:高流動率與資訊安全風險
從動機心理學角度來看,人才離職並非偶然,而是對企業文化與發展機會的直接回應。企業若忽視離職過程,甚至對離職員工態度惡劣,可能促使員工在離開時產生「補償心理」(compensatory behavior),進而帶走機密資料、客戶清單或敏感資訊。
此外,根據溝通心理學,企業若未明確傳達資安規範,將導致員工對資訊安全義務的認知模糊。例如,若企業未在離職面談時強調「已簽署的保密協議仍然有效」,許多員工可能誤以為離職後不受約束,進而洩露前東家的內部資訊。
人力資源管理:從「留人」轉為「留制度」
解決此問題的關鍵不在於「避免聘用頂大生」,而在於建立系統化的資安交接機制,即便新進員工流動率高,也能確保資訊安全不受影響。
🔹 落實離職資訊交接 SOP:企業應制定「資安交接清單」,包括文件歸檔、權限移轉、硬體設備回收等細節。
🔹 設計「離職教育訓練」:許多企業只在入職時進行資安培訓,卻忽略了離職時的教育訓練。事實上,在離職談話中重申資安責任,比在職時的規範更具法律效力。
🔹 調整聘用合約條款:企業應在合約中明確載明「聘用終止後仍持續有效的資訊安全責任」,並加強對供應鏈的管理,確保外包人員同樣受到規範。
結論:資安與人才管理不能脫鉤
台灣許多中小企業以為「只要不聘用高學歷人才,就能降低流動率」,但事實上,這種做法無法解決核心問題。ISO 27002:2022 6.5 強調的關鍵在於,企業應該確保無論員工來去,資訊安全的責任都能清楚界定,並透過有效管理機制確保資訊不會因人事變動而流失。
企業應思考的不是「如何讓頂大生留下」,而是「即便他們離開,企業仍能保持穩定的資訊安全與競爭力」。資安不是用來「留人」的,而是用來「留制度」的。
