近年來,台灣金融業的資安風險日益增加,尤其是保險經紀公司,因個資管理與內部控制的漏洞,屢遭金管會開罰。其中,富士達保險經紀人股份有限公司的案例,正好讓我們從 ISO 27002:2022 6.3 資訊安全認知及教育訓練 的角度,來探討資訊安全教育訓練的關鍵性。
一、資安意識不足帶來的風險
富士達的裁罰內容顯示,該公司在客戶溝通、招攬制度、內部控制、網站安全等方面皆存在嚴重缺失,例如:
- 未向客戶清楚解釋保險條款,導致商品資訊未能正確傳達。
- 內部稽核機制不完善,缺乏異常交易檢查與業務員的有效管理。
- 網站個資保護機制不足,未使用加密技術保護個人資料,違反個資法。
二、ISO 27002:2022 6.3 條文的啟示
ISO 27002:2022 6.3 資訊安全認知及教育訓練 強調:
- 資安教育訓練應與企業政策、法規及內部作業規範一致,並定期更新。
- 認知計畫需涵蓋組織所有人員,並針對不同角色量身打造訓練內容。
- 應該透過多元方式,如宣導、電子學習、實體課程,強化員工的資安意識。
在 3C 金融公司的案例中,如果公司在內部建立強化資安教育訓練的機制,例如:
- 要求業務員參加資安認知課程,確保他們理解如何正確處理客戶個資,並落實合規要求。
- 設計符合 ISO 27001 的內部稽核培訓,讓資安與法遵團隊能更有效檢測內部風險。
- 網站與 IT 人員定期接受加密技術訓練,提升對個資加密、隱私保護的技術理解。
這些措施將有助於減少資訊安全違規,降低公司因資安疏忽導致的罰款與商譽損害。
三、從心理學角度看資安教育的有效性
溝通心理學與教育心理學的研究顯示,員工對資訊安全的態度與行為,與他們的風險感知、獎懲機制及組織文化息息相關。如果資安訓練只是單向傳遞規範,員工的行為改變效果有限。因此,應採用以下策略:
- 情境式教學(Scenario-based training) 讓員工透過模擬攻擊與案例分析,親身體驗資訊外洩的影響。
- 行為強化機制(Behavioral reinforcement) 建立明確的獎勵與懲罰制度,例如成功通報社交工程攻擊的員工,可獲得額外獎勵,反之,未遵守資安規範的員工需接受額外訓練。
- 持續學習與強化(Continuous reinforcement learning) 透過定期測驗、短影片、遊戲化學習等方式,加深員工對資安規範的記憶。
四、台灣中小企業的資安教育挑戰與機會
許多中小企業管理者認為,資安教育訓練是「大企業才需要的東西」,但事實上,台灣的中小企業更容易成為資安攻擊的目標,因為資源較少、內控機制較不完善。參考 ISO 27002:2022 的建議,中小企業可採取:
- 簡單的 e-learning 平台,讓員工能隨時學習資安知識。
- 導入「資訊安全大使」制度,培訓資安關鍵人員,由內部推動資安文化。
- 結合 ISO 27001 認證,建立正式的資訊安全管理架構,提升企業競爭力。
富士達保險經紀人公司的案例提醒我們,資訊安全意識不足會帶來嚴重的法律與商譽風險。ISO 27002:2022 6.3 資安教育訓練條文 提供了具體的改善方向。無論是大型金融機構,還是台灣的中小企業,資安訓練都應該是一項持續進行的策略,而不是等到發生問題後才來補救。
參考文獻來源:
https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202009180005&dtable=Penalty
