用3C公司故事談資訊安全：從離職管理看資安防護的基本功

在台灣的中小企業中，3C公司是一家快速成長的電子零件供應商，擁有約50名員工。近期，一位負責與客戶洽談的大客戶經理因個人生涯規劃離職，公司卻在他離職後發現，部分關鍵客戶資料仍存於他的私人雲端，存在外洩風險。這次事件讓3C公司深刻意識到，員工離職或角色變更，除了是行政流程，更是資訊安全管理的重要環節。

CNS 27002:2023 第6.5條款的啟示

根據 CNS 27002:2023 第6.5條款，企業在處理聘用終止或角色變更時，應該定義並傳達相關資訊安全責任，確保在過程中保護組織利益。以下是3C公司從實際經驗中總結的三個基本功：

1. 資訊資產的清點與交接 每位即將離職或角色變更的員工，應列出所掌握的所有資訊資產，包括密碼、文件、雲端存取權限等，並將這些資源正式移交接替者。3C公司學到的教訓是：建立標準化流程，確保數位與實體資產在離職交接中不遺漏。
2. 保密協議的延續與執行 員工離職後，其保密義務應持續有效。3C公司在每位員工的聘用合約中清楚載明，無論是在職或離職，員工皆不得外洩商業機密或客戶資訊。這不僅提升了公司的法律保障，也提醒員工需對其行為負責。
3. 通知相關外部關注方 當離職員工的職務與供應商或客戶有直接關聯時，3C公司會立即通知相關方，並安排新任接洽人員上任，避免因交接不當導致合作受影響。

3C公司的離職資安管理制度

3C公司從這次危機中學到，不僅要處理員工離職，更要優化資安管理。以下是他們引入的創新措施：

• 離職資安檢查：人資部門與資安部門聯合檢查離職員工的存取權限，確認所有系統帳號已停用，雲端資料已清空。
• 離職資料問卷：要求離職員工填寫問卷，確認未將公司資料保存於私人設備，並簽署保密承諾。
• 自動化工具：採用自動化系統撤銷數位存取權限，減少手動操作的錯誤風險。

資訊安全文化的建立

3C公司認為，資訊安全的本質不只是防護技術，而是全員的共同責任。他們定期舉辦資訊安全認知培訓，幫助每位員工了解在日常工作中如何保護資訊資產，讓資安意識成為企業文化的一部分。從3C公司的故事我們可以看到，離職或角色變更並非只是行政事務，而是資訊安全管理的重要關卡。透過落實 CNS 27002:2023 的指引，結合創新的管理實踐，企業可以在離職過程中保護組織利益，降低潛在風險。這樣的基本功，對台灣的中小企業尤為重要，希望能為更多管理者提供啟發。