金融壽險公司的資安故事: 資安教育訓練的必要性
近年來,隨著保險業數位轉型的加速,金融業的資訊安全問題日益嚴峻。2020 年 12 月,國際康健人壽保險股份有限公司因違反保險法,遭罰 240 萬元並要求改善,其中涉及電話行銷誤導、資訊揭露不足、內部控制缺失等問題。這起事件不僅影響消費者權益,也反映出企業內部對資訊安全意識的不足。若該公司能依照 ISO 27002:2022 6.3「資訊安全認知及教育訓練」 落實相關控管措施,或許可以大幅降低違規風險。
一、資訊安全教育訓練的重要性
ISO 27002:2022 明確指出,資訊安全教育訓練應與企業內部資訊安全政策一致,並針對不同角色提供適切的學習內容。企業內部若能定期舉辦資訊安全認知與教育訓練,不僅能提升員工對資訊風險的敏感度,還能確保其在日常工作中落實合規要求。
以國際康健人壽的案例來看,若業務員在銷售前,能夠接受資訊安全與合規的教育訓練,了解 如何正確揭露保單資訊、如何避免誤導消費者、如何確保客戶資料的隱私保護,或許可以避免這次的裁罰。
二、企業在資安教育上的常見盲點
台灣許多企業對資訊安全的培訓,仍然存在幾個主要盲點:
- 資安教育流於形式,未真正落實 很多企業只是辦理資安講座,要求員工簽到,卻沒有真正測試員工對資訊安全規範的理解。
- 教育訓練沒有針對不同角色客製化 例如,業務員需要知道如何正確傳遞產品資訊與保護客戶個資,而 IT 人員則需熟悉資料加密與存取控制機制。
- 缺乏持續強化與學習機制 許多企業的資安訓練只在新進人員報到時進行一次,之後就沒有進一步的學習機會,導致員工對資訊安全意識逐漸淡忘。
ISO 27002:2022 建議資訊安全認知訓練應該是「持續」的,而非一次性的活動,企業應定期測試員工對資安規範的理解,確保相關知識能夠真正落實在日常工作中。
三、如何有效推動資訊安全教育訓練?
ISO 27002:2022 建議,資訊安全訓練應該透過多元化方式進行,例如:
- 案例分析法(Case-based learning) 透過真實案例,讓員工了解錯誤決策可能導致的後果,例如本次國際康健人壽的違規事件,便可作為業務員的教材。
- 情境模擬(Scenario-based training) 讓員工透過模擬攻擊與案例分析,學習如何應對資安風險,例如:模擬如何應對社交工程詐騙、如何識別釣魚郵件等。
- 微學習(Microlearning) 採用短影片、互動測驗、遊戲化學習,讓員工在 5-10 分鐘內快速吸收關鍵資安概念。
這些方法能夠讓員工更容易吸收資訊安全知識,進而在日常工作中落實。
四、從心理學角度看資安教育的有效性
根據溝通心理學與教育心理學的研究,員工對資訊安全的態度與行為,與風險感知、獎懲機制及組織文化息息相關。若企業只是單向傳遞資訊安全規範,而未建立行為激勵機制,員工的行為改變效果有限。因此,企業可採用:
- 獎勵機制(Positive reinforcement) 例如,成功通報資安漏洞的員工可獲得獎勵,提高大家對資安事件的警覺性。
- 行為強化機制(Behavioral reinforcement) 設立「資安合規競賽」,讓員工透過參與比賽學習資安知識,並獲得成就感。
- 持續學習與強化(Continuous learning) 透過定期測驗、短影片、電子學習模組等方式,確保員工持續接收最新資安知識。
五、台灣中小企業該如何落實資安教育訓練?
許多中小企業管理者認為,資安教育訓練是「大企業才需要的東西」,但實際上,台灣的中小企業更容易成為駭客攻擊目標,因為:
- 資源有限,缺乏完善的資安防禦機制
- 內部資訊安全意識普遍不足
- 員工對釣魚攻擊與社交工程的辨識能力低
因此,中小企業可採用 ISO 27002:2022 的建議,採取成本較低但有效的資安教育方式,例如:
- 使用免費的 e-learning 平台(如 Coursera、Udemy)提供員工基礎資安課程。
- 導入「資訊安全大使」制度,培訓幾位資安關鍵人員,負責推廣內部資安教育。
- 與 ISO 27001 認證結合,透過外部稽核,確保資訊安全訓練的落實,提升企業競爭力。
國際康健人壽的案例提醒我們,資訊安全教育訓練不僅是 IT 部門的責任,更應該貫徹到所有員工,特別是涉及客戶資料處理的業務員。ISO 27002:2022 6.3 條文 提供了企業推動資安教育的方向,無論是大型金融機構,還是中小企業,都應該將資安訓練視為日常經營的一部分,而非等到發生問題才來補救。
參考文獻來源:
https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202012240001&dtable=Penalty
