留不住人才，還是留不住資安？—從ISO 27002談企業的隱形風險

「頂大生不吃香了？」這類新聞標題，反映出台灣中小企業常見的用人焦慮：企業希望招募高學歷人才，卻無法長期留住；相較之下，普通學歷員工雖穩定，但學習與適應速度較慢。這不只是人力資源管理的挑戰，更可能成為資安管理上的隱形風險。

ISO 27002:2022 條文 6.5 明確指出，企業應對聘用終止或變更後的資訊安全責任進行定義、執行並傳達，以確保組織利益不因人員流動而受損。然而，台灣許多企業在人員管理上，僅關注如何「降低流動率」，卻忽略了更重要的問題：「離職的人帶走了什麼？留下的人又掌握了什麼？」

離職潮中的資安黑洞

根據資訊管理領域的研究，企業應用資訊安全政策時，應將內部知識管理視為核心資產，特別是在高流動率的環境中。然而，許多企業只在員工入職時要求簽署保密協議（NDA），對於離職時的資訊交接、權限收回、機密資料移轉控制卻缺乏明確規範。例如，某台灣科技公司因忽視離職程序，導致一名前員工帶走完整的專案架構，跳槽到競爭對手後，讓企業損失數千萬業務機會。

ISO 27002 6.5 建議企業應確保：「所有離開或變更工作角色之個人所承擔的資訊安全責任，宜加以識別並轉移予另一人」。這意味著，企業不該只聚焦在「如何留住人」，而應更關注「如何管理即將離開的人」。

心理學觀黯：高流動率與資訊安全風險

從動機心理學角度來看，人才離職並非偶然，而是對企業文化與發展機會的直接回應。企業若忽視離職過程，甚至對離職員工態度惡劣，可能促使員工在離開時產生「補償心理」（compensatory behavior），進而帶走機密資料、客戶清單或敏感資訊。

此外，根據溝通心理學，企業若未明確傳達資安規範，將導致員工對資訊安全義務的認知模糊。例如，若企業未在離職面談時強調「已簽署的保密協議仍然有效」，許多員工可能誤以為離職後不受約束，進而洩露前東家的內部資訊。

人力資源管理：從「留人」轉為「留制度」

解決此問題的關鍵不在於「避免聘用頂大生」，而在於建立系統化的資安交接機制，即便新進員工流動率高，也能確保資訊安全不受影響。

🔹 落實離職資訊交接 SOP：企業應制定「資安交接清單」，包括文件歸檔、權限移轉、硬體設備回收等細節。

🔹 設計「離職教育訓練」：許多企業只在入職時進行資安培訓，卻忽略了離職時的教育訓練。事實上，在離職談話中重申資安責任，比在職時的規範更具法律效力。

🔹 調整聘用合約條款：企業應在合約中明確載明「聘用終止後仍持續有效的資訊安全責任」，並加強對供應鏈的管理，確保外包人員同樣受到規範。

結論：資安與人才管理不能脫鉤

台灣許多中小企業以為「只要不聘用高學歷人才，就能降低流動率」，但事實上，這種做法無法解決核心問題。ISO 27002:2022 6.5 強調的關鍵在於，企業應該確保無論員工來去，資訊安全的責任都能清楚界定，並透過有效管理機制確保資訊不會因人事變動而流失。

企業應思考的不是「如何讓頂大生留下」，而是「即便他們離開，企業仍能保持穩定的資訊安全與競爭力」。資安不是用來「留人」的，而是用來「留制度」的。