金融銀行的資安故事: 資安意識不足

更新於 2025/01/09發佈於 2025/01/09閱讀時間約 6 分鐘

2022 年 9 月，永豐商業銀行因勸誘客戶以融資方式購買理財商品、搭售房貸壽險、及保險代理業務的不當銷售行為，遭金管會重罰 1,800 萬元，並對高層主管做出停職處分。這起事件不只是法規違規，更突顯了銀行內部控管與資訊安全意識的嚴重缺失。

金融機構在推動業績成長的同時，若忽略內部控制與員工教育訓練，將可能陷入高風險的資訊安全與合規危機。ISO 27002:2022 6.3「資訊安全認知及教育訓練」 提供了一套有效的方法論，幫助企業建立合規機制，降低法規與資安風險。本文將探討此事件暴露出的核心問題，並提供創新解方。

一、永豐銀行事件暴露的資安管理缺陷

這次違規事件中，永豐銀行的主要問題包含：

內控機制鬆散，未有效監督員工行為銀行內部已明文禁止勸誘客戶貸款投資，但業務員仍透過話術推銷，顯示內部監管流於形式。房貸壽險業務存在「搭售」行為，這代表銀行並未建立有效的客戶適合度評估與監督機制。
資安意識不足，導致不當操作部分理財專員「保管客戶簽署的空白表單」，甚至「自製對帳單」提供給客戶，這是明顯的資訊安全風險。電訪流程未落實，許多違規案件直到被檢舉後才曝光，代表內部風險管控機制失效。
組織文化導致不當銷售行為這次事件的關鍵不只是個別員工的違規，而是銀行的績效獎酬機制設計有問題，導致理財專員為了業績，不惜違反合規要求。

這些問題的本質，在於銀行沒有將資訊安全與內控意識真正落實在員工行為中，導致整體風險暴露。

二、為何傳統的內控與教育訓練無法解決問題？

許多金融機構每年都會舉辦內控與資訊安全教育訓練，但效果往往不佳，主要原因如下：

培訓方式過於被動，員工難以內化資訊安全概念傳統資安訓練多以 PPT、線上課程為主，員工只是「看完就結束」，並沒有真正改變行為。
內容過於制式化，未針對不同角色提供專屬訓練 IT 部門、理財專員、電訪人員的資安風險不同，但許多企業卻使用相同教材，導致訓練效果有限。
缺乏即時監控與強化機制訓練完成後沒有後續考核或行為監控，導致員工學過後容易遺忘，無法落實在實際業務操作中。

這些問題說明，企業若要真正落實資安意識，不能只靠一次性的訓練，而需要更具策略性的管理與行為強化機制。

三、ISO 27002:2022 的創新解決方案

ISO 27002:2022 6.3「資訊安全認知及教育訓練」 提供了一套有效框架，幫助企業建立資訊安全文化，避免類似永豐銀行的風險。

1. 透過行為科學設計資安訓練，讓員工真正改變

企業應導入 行為設計（Behavioral Design），讓資安教育變成一種習慣，而非一次性課程。具體方法包括：

微學習（Microlearning）：將資安知識拆解為 3-5 分鐘的短影片或測驗，透過 App 或內部系統定期推播，確保員工持續學習。
情境模擬（Scenario-based training）：透過模擬違規情境（如勸誘客戶貸款、偽造文件），讓理財專員與電訪人員學習如何應對合規風險。

2. 建立「資訊安全大使」制度，提高資安落實度

企業可在不同部門設置資安大使（Security Ambassadors），負責：

定期檢查員工對資訊安全的落實情況。
組織內部分享會，交流資安與合規案例。
協助風險監測，發現內部不當行為。

透過這種「由內而外」的推動方式，資安文化才有可能真正落實。

3. 利用 AI 技術動態監測，及時矯正資安行為

即時警示系統：當系統偵測到業務員使用敏感客戶資訊時，自動發送警告通知，提醒可能的資安風險。
行為追蹤分析：AI 透過數據分析，找出高風險行為模式，例如：某些業務員經常透過不當話術推銷產品。內部文件存取異常，可能存在未經授權的個資查閱行為。

這些技術能有效防止違規行為，讓企業能夠在風險發生前先行控制。

四、銀行如何建立符合 ISO 27002:2022 的資安管理策略？

針對銀行業，企業應從以下三個層面來建立完整的資安教育與內控機制：

政策層面訂定明確的「業務員資安行為準則」，要求所有業務行為符合 ISO 27002:2022 標準。強制執行定期資安考核，未達標準者需補修課程，確保合規性。
技術層面導入 AI 監控系統，識別高風險交易與行為模式。建立電子稽核機制，確保所有內部審查有據可查。
人員管理層面設立「資安績效指標」，將資安合規納入業務員的獎酬考核。建立「資安獎勵制度」，鼓勵員工主動檢舉或回報可疑行為，提高整體資安意識。

永豐銀行的違規事件提醒我們，資訊安全與內控管理並非單純的 IT 問題，而是關乎組織文化與行為管理的核心議題。ISO 27002:2022 6.3「資訊安全認知及教育訓練」 提供了具體的管理指引，幫助企業建立更完善的資安教育機制。

透過行為設計、資安大使制度、AI 監控等創新方法，企業不僅能降低資訊安全風險，還能提升內控管理效率，確保業務發展與合規要求並行。資訊安全不是一個單獨的課題，而是一個企業文化的養成，唯有從根本改變，才能真正降低風險，確保企業的長期穩健經營。

參考文獻來源:

https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=202209060002&dtable=Penalty

0會員

193內容數

資訊管理、投資、ISO 27001主導稽核

留言0

查看全部

發表第一個留言支持創作者！

Michael Ch的沙龍的其他內容

從金融保經公司故事，看內控失敗的深層原因

2021 年 2 月，泛亞保險經紀人股份有限公司因業務員冒用客戶個資辦理保單，且未落實內部審查與電訪流程，被金管會裁罰 30 萬元並限期改正。這類違規事件並非個案，從資訊安全管理的角度來看，泛亞保經的問題不只是個別員工的不當行為，而是整體內控與資安管理文化的失敗。企業若未能建立強而有力的資訊安全

#資訊安全 #管理 #教育訓練

金融壽險公司的資安故事: 資安教育訓練的必要性

近年來，隨著保險業數位轉型的加速，金融業的資訊安全問題日益嚴峻。2020 年 12 月，國際康健人壽保險股份有限公司因違反保險法，遭罰 240 萬元並要求改善，其中涉及電話行銷誤導、資訊揭露不足、內部控制缺失等問題。這起事件不僅影響消費者權益，也反映出企業內部對資訊安全意識的不足。若該公司能依照 I

#資訊安全 #管理 #教育訓練

3C金融保經公司的資安挑戰故事：資安教育訓練的必要性

近年來，台灣金融業的資安風險日益增加，尤其是保險經紀公司，因個資管理與內部控制的漏洞，屢遭金管會開罰。其中，富士達保險經紀人股份有限公司的案例，正好讓我們從 ISO 27002:2022 6.3 資訊安全認知及教育訓練的角度，來探討資訊安全教育訓練的關鍵性。一、資安意識不足帶來的風險富士達

#資訊安全 #管理 #心理學

金融壽險分公司的資安故事: 從3C金融分公司談個資保護與資安

在數位金融環境中，個人資料（PII, Personally Identifiable Information）的保護已不只是法規要求，而是關乎企業品牌信譽與客戶信任的關鍵因素。近期，法商法國巴黎人壽保險台灣分公司因未妥善管理個資，遭主管機關處以新臺幣600萬元罰鍰，並接受兩項糾正處分。這顯示，在CN

#資訊安全 #管理 #金融

金融產險的資安故事: 3C金融公司談個資保護與關注方需求

個資保護不只是法規要求，更是企業生存關鍵 2019年，臺灣產物保險因未善盡個人資料保護義務，遭罰款60萬元，並面臨7項糾正及1項限期改正處分。這起案例顯示，企業若無法掌握並滿足關注方（Stakeholders）對資訊安全的需求，不僅可能觸法，還可能損害企業信譽與競爭力。 3C金融公司的個資挑戰：

#資訊安全 #管理 #金融

失控的焦慮世代新鮮人與企業資安

在《失控的焦慮世代》一書中，強納森·海德特剖析智慧型手機與社群媒體如何改變了青少年的成長歷程，使他們在睡眠剝奪、注意力碎片化與社交焦慮中掙扎。然而，這種「數位過載」的現象不僅影響年輕人，在企業資訊安全領域，3C 公司也面臨類似挑戰：資訊安全決策的焦慮感：面對越來越多的資安威脅，企業管理層經常陷入

#資訊安全 #管理 #心理學

從金融保經公司故事，看內控失敗的深層原因

#資訊安全 #管理 #教育訓練

金融壽險公司的資安故事: 資安教育訓練的必要性

#資訊安全 #管理 #教育訓練

3C金融保經公司的資安挑戰故事：資安教育訓練的必要性