「他都離職了,還能拿我們的資料做什麼?」
這是66金融公司資安長王經理,最近在內部會議上聽到的問題。公司剛發生了一起內部資料外洩事件,離職員工趙先生在交接時,順手下載了一些業務資料,準備帶去下一家競爭對手公司使用。雖然公司已經收回了他的帳號權限,但並沒有落實離職後的資訊安全監管。這不只是個案,而是許多企業常見的資安盲點。根據CNS 27002條文規範,企業應該確保離職或職務變更後,資訊安全責任依然有效,避免資料外流、商業機密洩漏,甚至資安攻擊的風險。
離職後的資訊安全漏洞,為何成為企業風險?
在66金融公司的案例中,趙先生原本負責金融商品設計,擁有大量的客戶數據、行銷策略文件,甚至還能存取公司內部系統。一旦這些資訊落入競爭對手或心懷不軌者手中,後果不堪設想。
企業在員工離職或轉調時,若沒有適當的資訊安全機制,可能會面臨以下風險:
- 未回收的存取權限:離職員工仍能進入內部系統,甚至下載、刪除或修改重要數據。
- 個資與機密資料外洩:員工將客戶名單、業務機密帶走,影響公司競爭力與信譽。
- 供應商與客戶誤信任:如果供應商或客戶未被通知員工已離職,可能仍與不具授權的人員分享機密資訊。
這些問題在金融產業尤其嚴重,因為一旦機密資料被不當使用,不只會影響企業競爭力,還可能違反個資法與金融監理規範,導致鉅額罰款。
66金融公司如何強化離職與職務變更的資安管理?
66金融公司在這次事件後,決定建立一套完整的離職資安管理流程,確保資訊安全不會因人事變動而產生漏洞。
✅ 權限管理清查,確保帳號即時收回
- 設立「離職即鎖帳」機制,一旦員工辦理離職,系統會自動停用其所有權限,包括電子郵件、內部系統存取權。
- 定期檢視並清理幽靈帳號,避免已離職員工的帳號仍在運作。
✅ 資料交接必須留存紀錄,避免機密外流
- 離職或職務變更時,要求員工簽署「機密資料回收確認書」,確保電腦、USB、雲端帳號內無未經授權的公司資料。
- 內部資訊系統的下載與存取紀錄自動生成報告,確保資安團隊能夠追蹤是否有異常行為。
✅ 供應商、客戶即時通知,防止誤發資料
- 一旦員工離職或調動,應立即通知相關供應商、合作夥伴與客戶,確保後續溝通不會誤發機密資訊。
✅ 建立「資訊保密期間」與合約條款,降低風險
- 在合約中明確規範,離職員工仍需對曾經處理過的機密資訊負法律責任,並禁止於一定期間內與競爭對手合作。
- 透過法務部門與資安團隊聯合監管,確保離職後仍有效落實資料安全。
從人事管理到資安控制,66金融公司的三大資安文化轉變
這次事件後,66金融公司不只強化離職資安管理,更進一步將「職務變更與資安管理」納入企業文化,並推動三大資安轉變:
🔹 主管與HR共同負責資安交接
- 主管與HR不再只是處理薪資與文件,還要確保資料安全完整交接,減少資訊落差。
🔹 建立「資安離職教育」
- 離職面談時,HR會向員工強調機密資訊保護的重要性,並提醒相關法律責任,確保員工理解未來若洩密的法律後果。
🔹 每半年資安稽核,防止漏洞
- IT與法遵部門每半年進行一次「離職帳號存取測試」,確保沒有未關閉的存取權限,並檢查是否有異常資料外洩情形。
結語:資安管理不能只看「在職期間」,離職後更該留意!
這次的資安事件讓66金融公司深刻體會:
「資訊安全不是只管員工在職時的行為,而是要確保離職後仍有適當的風險管理措施。」
企業應該從帳號回收、資料交接、法律責任、供應商與客戶管理等多方面著手,確保公司機密不因人事變動而輕易流失。
企業的競爭力,不只是來自於技術與產品,更來自於資訊安全的完善管理。
