在3M的「資訊領導力計畫」中,Roepke, Agarwal和Ferratt(2000)詳細描述了IT人力資源如何與企業目標適配,並透過領導力的提升使資訊部門從傳統支持角色轉型為戰略夥伴。這樣的經驗對於ISO 27001主導稽核員在審視CNS 27002:2023條文時提供了寶貴啟發,尤其是在6.1「篩選」的落實上。
3M的啟示:對人員篩選的全面觀點
3M的計畫顯示,成功的IT組織需要注重「人」的因素,從技能培養到文化適配,確保人才具備不僅技術能力,還包括戰略思維及創新精神。這與CNS 27002:2023中6.1「篩選」條文的核心一致,即在聘用前進行背景調查,考量法律、倫理及組織需求,並持續評估其適合性。對ISO 27001主導稽核員的啟發
- 篩選程序的策略性設計:CNS 27002:2023建議針對全職、兼職及臨時人員進行詳細背景調查,例如檢查履歷的完整性、學歷及專業資格等(CNS 27002:2023)。主導稽核員應確保企業篩選過程透明且符合法規,並針對敏感角色如資安主管進行更嚴格的檢核,如犯罪紀錄及信用查核。
- 持續適任性評估:3M強調IT專業人士的持續領導力發展,對應於CNS 27002:2023中的定期查證要求(CNS 27002:2023)。稽核員可檢視組織是否定期檢討員工的適合性,尤其是關鍵職位。
- 文化與價值觀的整合:3M的成功轉型強調了文化適配的重要性。稽核員應審查篩選過程是否僅聚焦於技能,還包括個人價值觀是否與組織文化契合。
- 法律與倫理的遵循:稽核員在審查CNS 27002時,可參考3M對倫理的重視,確保篩選過程符合法律及道德標準,並保護個人隱私(PII)。
從3M當時的成功經驗看來,CNS 27002:2023的6.1條文不僅是技術層面的要求,更是一種全面篩選與人員管理的戰略思維。ISO 27001主導稽核員應將這些原則融入審查過程,確保組織在資訊安全角色篩選上具有長期競爭力。
參考文獻
- Roepke, R., Agarwal, R., & Ferratt, T. W. (2000). Aligning the IT human resource with business vision: The leadership initiative at 3M. MIS Quarterly, 24(2), 327-353.
- 中華民國國家標準 (CNS) 27002:2023. 資訊安全、網宇安全及隱私保護-資訊安全控制措施. 【台灣經濟部標準檢驗局】