3C 公司的資訊安全「持續買進」策略：從員工變動到長期防禦的智慧投資

在投資市場上，許多人迷信「逢低買進」，但資料科學家 Nick Maggiulli 指出：「持續買進」才是長期獲利的不敗法則。這個理念不僅適用於股市，也能應用在 資訊安全管理 上。許多企業以為 離職員工的帳號關閉、設備回收 就代表安全，但事實上，真正的資訊安全策略應該像「持續買進」的投資哲學一樣，長期維持、穩健管理、持續強化。

員工流動的風險：資訊安全的「資產再平衡」

ISO 27002:2022 6.5 條款「聘用終止或變更後之責任」 強調，企業應確保員工離職或職位調動後，仍能維持資訊安全的責任與義務。這與投資管理的「資產配置」概念類似——不只是進場時要謹慎，持有資產的期間與退出策略更是關鍵。以下是 3C 企業如何運用這個策略的例子：

1. 「持續配置」——即使離職，資訊安全責任不能斷

一家 3C 電子產品公司 A 近期發生一起資安事件——一位離職工程師仍保有內部系統的存取權限，導致未經授權的數據存取。這個情況就像投資人一時忘了「調整資產配置」，結果在市場劇烈變動時無法應對。

解決方案：

• 建立「離職資產清單」：像定期檢查投資組合一樣，HR 應與 IT 部門合作，清點離職員工的所有數位資產，如 帳號、郵件存取權、API 金鑰、VPN 登入憑證。
• 設定資訊安全「冷卻期」：離職後的員工仍應受一定期間的 保密與競業條款 保障，確保企業關鍵資源不外流。

2. 「定期加碼」——職位調動時重新審視權限

公司 B 發現，一位內部晉升的主管仍保有過去部門的 存取權限，導致超過 20 名員工能夠查看不相關的內部機密檔案。這就像投資人累積了多年的投資部位，卻沒有定期「調整配置」，導致風險過高。

解決方案：

• 「權限再平衡」機制：企業應設定 員工轉職檢查點，確保變更部門後 不再保留原本部門的機密資料權限。
• 「職務變更即重新授權」：如同基金定期調整資產比重，公司應該在 員工升遷、轉調時，自動收回舊有權限，再由新部門重新授予。

3. 「不斷優化」——讓供應商也遵循相同標準

3C 企業 C 曾委託外包公司開發內部系統，項目結束後，外包商仍保有企業的測試環境存取權限，增加了潛在的資安風險。這種情況，就像投資人忽略了基金管理費，長期下來可能會侵蝕投資報酬率。

解決方案：

• 「供應商離場機制」：企業應要求外包廠商 離場時歸還所有帳號與數據存取權，類似於投資市場中的「自動再平衡機制」。
• 簽署長期保密協議（NDA）：就像長期投資策略，企業應與供應商建立 資訊安全長期協議，確保未來不會因關係中止而發生資訊外洩風險。

結論：資訊安全是「長線投資」，不是一次性支出

資訊安全管理（ISO 27002:2022 6.5）的重點在於 持續關注、長期配置、主動調整。如果企業只專注於「離職帳號刪除」，卻忽略了後續的風險管理，就像投資人只想「低買高賣」，卻沒考慮到持續投資的重要性。

真正穩健的企業資安策略，應該像 「持續買進」的投資方式，建立標準程序、定期審查、確保所有關注方都符合安全標準。只有這樣，企業才能在資訊安全領域 持續穩健獲利，而非在意外發生時才匆忙補救。