心理學看ISO 27001：離職或職務變更中的資安責任管理

在組織運營中，離職或職務變更是不可避免的，但如果沒有妥善管理這些過程，往往會引發資訊安全風險。ISO 27002:2022中的6.5條文，針對聘用終止或變更後的資訊安全責任提供了明確的指引，強調保護組織利益是人員異動的重要一環。本文將以3Q資安輔導顧問公司為例，結合資訊管理與離職心理學，探討如何落實此條文，提升台灣中小企業的資安防護。

3Q的故事：管理失誤如何影響資安

某製造業公司因市場調整而裁撤多名員工，但在員工離職後，並未及時取消其對公司內部系統的存取權限，導致一名前員工在離職後仍能下載公司設計圖，並洩露給競爭對手，造成重大損失。3Q顧問深入調查後發現，該公司在離職管理上缺乏系統性規範，導致這一資安漏洞。

條文6.5的實踐：保護組織利益的核心措施

1. 定義並延續資安責任

ISO 27002:2022條文6.5強調，應明確定義並傳達離職後仍有效的資訊安全責任，例如保密協議、智慧財產權保護等。研究指出，完善的離職程序不僅能降低資安風險，也能維持組織形象與員工信任。建議在聘用合約中納入離職後仍有效的資安條款，並進行明確溝通。

2. 建立即時的權限管理機制

研究顯示，系統權限管理的延遲是資訊洩漏的主要原因之一。為避免這類風險，3Q建議導入自動化權限回收系統，確保在員工離職當日，所有存取權限自動失效，並由專人進行二次確認。

3. 運用心理學提升管理效能

根據心理學，員工對離職管理的經驗會影響其後續行為。若能提供尊重與清晰的交接過程，離職員工更有可能遵守相關資安規範。3Q在其客戶公司中推行離職面談，強調資安責任並解答員工疑慮，有效降低潛在威脅。

台灣中小企業的實務建議

1. 標準化離職管理流程
2. • 設計一套涵蓋離職面談、權限回收及保密協議簽署的SOP，並確保執行到位。
2. 強化資安文化
3. • 定期舉辦資安教育訓練，提升員工對離職後資訊安全責任的認知。
3. 納入供應商管理
4. • 將外部人員的資安責任納入合約，並定期檢視合規情況。

結語

ISO 27002:2022條文6.5提醒我們，離職或職務變更不僅是人力資源的工作，更是資安管理的重要環節。透過建立標準化流程、引入自動化工具與加強資安文化，台灣中小企業能在應對人員變動時更有效地保護自身利益。同時，這也讓企業的資安管理更具延續性與可靠性。心