企業資安的最後一道防線：人事變動資安管理策略

當員工離職或內部調動時，企業往往將重心放在交接業務與補充人力，但卻忽略了資訊安全風險。ISO 27002:2022 第 6.5 條強調，組織應確保離職或職位變更的員工仍負有資訊安全責任，以保護企業利益。這與文化幣政策的邏輯類似——單次發放補助無法建立長遠影響，唯有制定完整的機制，才能確保文化資源的有效利用。同樣地，企業在面對人事變動時，也需要有一套機制，確保資訊資產不會因人員流動而暴露風險。

3C 公司案例：人事變動中的資訊安全挑戰

3C 公司是一家專精於電子產品設計與銷售的企業，擁有多個機密研發計畫。過去，公司曾因為一名前開發工程師離職後，帶走專案設計文件，結果該文件出現在競爭對手的產品規格中。這起事件讓 3C 公司深刻體會到，員工的資訊安全責任不應該隨著離職而終止，而是需要建立機制來確保資訊資產的安全。

如何確保人事變動後的資訊安全

3C 公司參考 ISO 27002:2022 的 6.5 條文，制定了一套離職與職務變更的資安管理策略，確保資訊安全責任能夠延續，而不因人員變動而出現漏洞：

1. 建立「離職資安評估」機制

• 在員工提交離職申請時，HR 部門立即啟動資安評估程序，與 IT 部門合作檢查該員工的資料存取紀錄，確認是否有異常下載或未授權存取行為。
• 員工在離職面談時需簽署資訊保密責任聲明，確保其離職後仍對過去接觸的機密資訊負有責任。

2. 落實職務變更的權限管理

• 當員工內部調動到新的職位時，IT 部門需立即調整該員工的帳號權限，確保其無法存取與新職務無關的資訊。
• 例如，一名從財務部轉到行銷部的員工，不應該再擁有過去的財務報表存取權限，否則可能造成內部數據洩漏風險。

3. 外部供應商與顧問的資安管理

• 3C 公司發現，外包開發人員與顧問也可能帶來資訊安全風險，因此與所有外部人員簽訂**「離任後資安責任協議」**，確保合作結束後，仍需遵守機密資訊保護規範。
• 此外，公司會定期審查與供應商的契約，確保對方在提供服務期間不會未經授權地存取企業內部機密資訊。

4. 以數據監測資訊資產的異動

• 3C 公司導入行為分析系統（User Behavior Analytics, UBA），當離職員工在最後工作日異常大量下載檔案，或職務變更的員工仍存取舊部門的機密文件時，系統會自動觸發警報，要求 IT 部門介入調查。

結語：資訊安全不該隨離職而終止

就像文化幣政策需要長期機制來確保資源有效運作，企業資訊安全也不能因為人員流動而有所鬆懈。透過完善的離職資安評估、權限管理、供應鏈資安協議與數據監測機制，3C 公司成功降低了員工離職與職務變更所帶來的資安風險。企業應將人事變動視為資安管理的重要環節，確保資訊資產在任何情況下都能受到有效保護，讓資訊安全成為企業的永續競爭力。