5-3 案例分享

危機之後：以人為解方的教育培訓規劃

在驚險的2021年個資外洩事件危機後，弘道基金會自危機事件處理當下，核心決策層即已明確認知外洩是無法改變的事實，危機之後，更應著眼於可控的部分，快速重新釐清資訊安全的應含括範圍、盤點風險，進一步將該做就做、能做就做的核心策略，延伸為組織教育訓練的整體方向。

弘道基金會的教育訓練目標，除了加強安全意識的培養，更是明確地定標在增加員工認同、共同肩負責任，實際展現了弘道基金會以人為本的組織文化，將工作成員視為一同鞏固資安的重要夥伴，將人定位為解方，透過實作與成員回饋，逐步優化可行的資訊安全作法，教育訓練的型式，就不僅只於開辦講習課程，而是全方位的在員工每一個工作場景中，提供加強資安的支持方案：

規劃概念：

1. 資安觀念打底奠基：以2022年為例，全會共進行14場資安教育訓練、觸及人數600人、年齡層橫跨20-70歲的工作夥伴。

2. 增設資訊窗口、加強訊息同步：由總會透過對話群組提供資安快報、政策布達、收整技術文件以供查找。

3. 納入新人教育訓練。

給其他組織的真心分享

6 個獲得全體工作夥伴認同以消除不良資安習慣的秘訣

1. 從自己開始做起

   從領導者開始帶頭示範，把資安當成日常的一部分。

2. 用故事讓資安更靠近生活

   分享真實的資安事件或學到的教訓，大家都更能感受到「資安和我有關」。

3. 讓提問變成日常

   我們鼓勵夥伴主動分享遇到的狀況，越多人交流，越能一起找出更實用的做法。

4. 讓規定更容易被遵守

   努力用簡單明確的方式，協助沒有技術背景的夥伴也能安心遵守。

5. 從數據看見改變

   定期檢視資安教育訓練的數據，了解參與情況。

6. 理解困難、設計助力

   資安習慣的養成，不只是提醒「要小心」，而是要理解阻礙是什麼，設計出讓大家更容易做對的環境與流程。

7. 推薦參考 〈CISO 如何培養企業資安文化來降低風險? By: Trend Micro 2023/04/13〉

資安專家Bruce Schneier：「在資安的語言，只有相對安全，沒有絕對安全。」

弘道基金會：「資安是一段很長很長沒有終點的過程，不是一個產品。」