保險公司的資安平衡術：如何滿足不同關注方的需求？

「資訊安全不只是技術問題，更是信任的問題。」

這是66保險公司資安長張經理的信念。在金融科技日新月異的時代，資訊安全管理系統（ISMS）不再只是企業內部的防護網，更關乎監管機關、合作夥伴、客戶，甚至是內部員工的信任。根據CNS 27001:2023 第4.2條的規範，企業必須確定關注方的需求與期望，並評估哪些要求需要納入資訊安全管理系統（ISMS）中。

但實務上，企業該如何在眾多關注方的需求間取得平衡？

關注方需求 vs. 資安管理的挑戰

在66保險公司，張經理面臨的資訊安全挑戰來自不同關注方：

• 監管機關（如金管會）
  要求符合《保險業內部控制及稽核制度實施辦法》，確保機房安全、資安稽核、核心業務委外監管，以及防範駭客攻擊。
• 企業客戶
  大型企業客戶要求嚴格的資安合規，需要66金融公司提供SOC 2、ISO 27001等認證，確保資料處理流程符合國際標準。
• 保險商品消費者
  一般消費者最關心的不是技術，而是個人資訊的安全，例如：信用卡資料是否被濫用？保單資訊是否會外洩？
• 內部員工
  員工期望系統方便操作又不影響工作效率，但資安規範通常要求強制變更密碼、雙因子驗證，造成使用上的不便。

資安管理該如何同時滿足這些不同需求？

66保險公司的「資安需求對應策略」

為了讓資訊安全管理系統真正符合關注方需求，張經理建立了一套「資安需求對應策略」，透過分類與權衡，找出最佳解決方案。

✅ 監管機關 vs. 內部營運效率

• 挑戰：監管機關要求系統記錄所有存取日誌，但過多的日誌查閱需求會降低系統效能。
• 解法：66保險公司導入AI日誌分析工具，自動篩選異常行為，降低日誌存取頻率，避免影響系統效能。

✅ 企業客戶 vs. 消費者隱私權

• 挑戰：企業客戶要求詳細的交易數據分析，但這可能涉及消費者個資的使用問題。
• 解法：導入資料去識別化技術，在分析前去除個資字段，讓企業客戶獲取商業洞察的同時，不影響消費者隱私權。

✅ 內部員工 vs. 使用便利性

• 挑戰：資安團隊要求所有員工必須使用雙因子驗證（2FA），但員工覺得繁瑣，影響工作效率。
• 解法：改用生物辨識技術（指紋、臉部辨識）取代傳統2FA，提升資安強度的同時不影響工作流程。

資訊安全不只是防禦，而是建立信任

透過這些對應策略，66保險公司不僅滿足了監管機關的法規要求，也確保企業客戶與消費者的資安需求，更在內部推動資安與使用便利性的平衡。

張經理的經驗告訴我們：

「資訊安全不是只為了防堵風險，而是要讓不同關注方都能安心信任我們的服務。」

在數位金融時代，企業不僅要符合標準，更要透過資訊安全建立品牌競爭力，讓消費者、合作夥伴與監管機關都能信任企業的安全管理能力。

結語：資訊安全管理的核心—找到關注方需求的最佳平衡

CNS 27001:2023 第4.2條強調企業應理解關注方需求，但真正的挑戰在於如何轉化這些需求為實際可執行的資安策略。66金融公司的經驗顯示，透過技術創新、風險評估與需求分類，企業可以在法規遵循、客戶信任、員工便利性之間找到平衡，打造出符合各方期待的資訊安全管理系統。

資訊安全管理不只是技術問題，而是企業信任的基石，企業應該從「如何符合規範」，進一步思考「如何透過資訊安全創造價值」，才能真正讓關注方滿意，確保長遠發展。