【臺灣資安大會直擊】當人資遇上資安挑戰：半導體公司人資主管解析，資安證照如何助力公司和個人價值提升

某半導體公司財務和人資主管鄭惠如（RuRu Cheng）表示，財務和人資部門掌握公司重要財務和個資等資訊，因此，她鼓勵相關部門同仁，取得免費考試的入門級資安證照：CC證照，作為公司發展和個人職涯助力。

圖片來源:

臺灣資安大會提供

在數位轉型浪潮席捲各產業的今天，「資安即國安」的口號已深入人心，然而，談及企業資安，大眾的目光往往聚焦IT部門的技術防禦。事實上，在企業運作的核心深處，人力資源（HR）和財務部門正因其獨特的工作性質和所處理的敏感資料，悄然成為企業資安防線中最為關鍵的「前沿」陣地。

某半導體公司財務與人資主管鄭惠如（RuRu Cheng），她日前在「臺灣資安大會」Cyber Talent Forum的演講中，以逾十年的財務人資經驗及資安領域的跨界視角，深入剖析為何人資和財務部門必須重視資安意識與相關證照，以及對於個人職涯和企業安全所帶來的深遠影響。

人資與財務部門成資安「關鍵前沿」

鄭惠如指出，人資和財務部門之所以站在資安風險的最前線，核心原因在於他們日常工作中接觸並處理著企業內「最敏感」且「最具價值」的資訊。人資部門掌握員工的個人資料，包括姓名、身分證、薪資結構等；更重要的是，如健檢報告這類資料，在個資法中屬於特種個資，其處理和保護要求極高。

至於財務部門，更是企業的經濟命脈，觸及銀行帳戶、客戶交易記錄、薪資發放等高度敏感的財務資訊，鄭惠如表示，這些資料一旦外洩，輕則公司商譽受損、引發員工信任危機，重則引發嚴重的經濟損失和法律訴訟。

她也引述數據，資安事件的平均損失成本在100萬至330萬美元之間，且識別與修復時間更是長達283天，對於資本額僅數千萬的臺灣許多中小企業而言，往往只要發生一次資安事件，就可能是公司無法承受之重，更可能直接危及企業的永續經營。

除了資料本身的敏感性，人資和財務部門在企業流程也扮演核心角色。鄭惠如以她參與公司上市櫃輔導的經驗為例，強調券商和會計師事務所審查企業時，第一優先稽核的業務流程就是財務和人事；在輔導過程中，也會要求公司進行個資自評，建立相關流程和制度。這意味著，人資和財務這兩個部門的資安意識和流程規範程度，直接影響著企業能否通過合規審查，是企業健全運作的晴雨表。

人資和財務部門是社交工程鎖定攻擊目標

鄭惠如引用報告指出，人為因素依然是資安風險的最大來源，因為人資和財務部門頻繁與人互動並處理大量資料，特別容易成為社交工程和內部風險的攻擊目標。

她從過往的工作經驗中，也分享幾個令人警惕的親身經歷。首先，最常遇到的就是社交工程郵件的詐騙，主要是駭客假冒財政部、法務部等政府機關並寄送相關釣魚郵件。她說，因為駭客在偽造這類釣魚郵件時，信件內容不僅有邏輯且真實性越來越高，許多人一不小心就會信以為真，點擊信件所附的連結或開啟附檔，之後可能被植入惡意程式。「一旦被植入惡意程式，公司就可能發生機敏資料外洩的情況。」她說。

此外，她也觀察到，有些人在咖啡廳或超商休息時，隨意聊天的內容可能不小心洩露公司資訊，這些看似無意的行為，都可能被有心人士或駭客用於社交工程攻擊。

其次就是機敏資料外洩的問題，例如，人資部門在發送新招聘員工Offer Letter（聘用通知書）時，可能因疏忽而發錯對象，導致應徵者的薪資等敏感資訊被公司資深員工看到，引發內部不滿和信任危機。鄭惠如坦言，親歷此事後，公司才開始思考，如何透過加密等技術手段解決這個問題。

第三，實體文件的安全漏洞，鄭惠如表示，即使公司有警衛控管辦公大樓的門禁，但也曾發生新人面試職務時，員工在與其互動的過程中，不慎將包含銀行往來紀錄的敏感文件帶入，這也突顯實體安全流程的人為疏忽風險。

第四，不安全的行為習慣。鄭惠如表示，公司過往有些員工可能因記不住密碼而將其直接貼在螢幕旁，或者是舉目可見之處。她說，儘管公司對全體員工進行相關的資安意識教育訓練，但為了一時方便的危險習慣仍然存在，而成為公司的資安盲點。

第五，AI工具的不當使用。隨著AI工具普及，員工可能在不了解風險的情況下，將會議記錄、公司營業秘密或個資等敏感資料等，直接放在AI工具分析或訓練。鄭惠如提到，有些研發單位可能沒按照公司規定的流程使用AI工具，導致相關研發資料發生洩漏風險。她觀察到這樣的現象，於是在公司內部撰寫文章，提醒員工小心AI工具的資安議題。

離職員工與特權帳號的潛藏危機

最後，也是鄭惠如最膽顫心驚的資安問題：離職員工和特權帳號帶來的資安風險，人資和財務部門必須特別關注！

她提到，有朋友公司的員工離職兩年後，其帳號密碼竟然仍然有效。而這起案例也暴露該公司在離職流程的嚴重問題：沒確實收回離職員工帳號權限。她強調，即使公司有離職確認清單並經過IT部門確認，人為疏忽仍可能導致某些帳號，特別是具有部門特色、IT部門不了解存在的特權帳號，遭到遺漏而未在該名員工離職後立即停用。

她以財務人員的角度指出許多類型的特權帳號，並不歸IT部門管理，例如網路銀行的帳號密碼、工商憑證等。這些帳號通常由財務或行政部門申請和保管，這也導致公司的IT部門根本不知道它們的存在。

由於這些特權帳號具有極大的權限，她指出，一旦落入有心人士手中，可能被用於交換利益，例如要求修改支票日期或是進行不正當的財務操作等。因此，如何在離職員工的流程中，關注某些不在IT部門控管的特權帳號，也是確保公司資安非常重要的關鍵。

更令人擔憂的是，鄭惠如認為現代員工抗壓性普遍不高，有些員工被資遣、心情無法調適時，可能出於情緒而搗亂公務系統。她回憶早年參加軟體開發的工作經驗時，曾看到許多跨國企業處理員工離職時，傾向讓員工當場離開公司，而且，寧可支付員工剩餘的薪水，就是為了避免某些員工在持有帳號權限時，做出公司無法預料的事情。

相較之下，許多臺灣企業可能基於成本或其他考量，並未採行此一相對不近人情的做法，然而，相對而言，這也意味著公司可能忽略這麼做背後隱藏的巨大資安代價。

提升財務和人資部門資安意識，刻不容緩

面對上述嚴峻的風險，人資和財務部門提升資安意識已刻不容緩。鄭惠如認為，這不僅是為了規避風險，更是讓這些部門同仁，如何從「風險前沿」轉變為企業資安的「防禦前線」的關鍵。

她也基於自身經驗，說明如何透過公司內部的資安教育訓練，有意識地協助人資和財務部門同仁培養資安風險的意識，讓他們能夠更主動地識別風險、優化流程，並做到與IT部門有效協作。

首先，強化機敏資料保護，像是讓人資和財務部門同仁意識資料的重要性，例如，健檢報告是特種個資，Offer Letter包含敏感薪資等，這些認知的養成之後，都會促使他們更願意尋求更安全的資料傳輸和儲存方式，例如，在傳送機敏資料文件時進行加密，並使用只有收件人知道的驗證因子，作為解開機敏文件的密碼。

其次，落實個資法的法規遵循。她強調，在導入如人臉辨識的門禁等新系統時，具備資安意識的人資部門同仁，就會主動思考個資收集的合規性，要求需取得個資使用的授權同意書，並明確告知員工相關資料的使用目的、可取得單位，以及資料的生命週期（何時銷毀）等。鄭惠如認為，這不僅保護員工隱私，也建立組織內部的信任基礎。

第三，優化公司內部的資安流程。她提及，人資部門在員工離職的流程中，其實扮演了核心角色，如果可以提升人資部門同仁的資安意識，並確保他們與IT部門能夠彼此溝通並做確認，不僅可以做到確保離職員工的帳號立即停用、設備確實回收，如此一來，就能夠避免「離職員工帳號兩年後還能用」的情況發生。

至於針對財務部門的同仁，她說，可以在執行採購新系統、設備或申請特權帳號時，主動將這些通報和記錄的資訊彙整給IT部門，之後，就能協助IT部門進行全面的帳號盤點和管理。

鄭惠如認為，這種彙整的動作，是她在擔任財務角色後才意識到的流程，這也說明，許多流程中的資安細節，往往需要身處該崗位的人才能發現。

最後，建立與推廣資安文化。鄭惠如以身為財務和人資部門主管的經驗指出，公司如果可以規畫社交工程演練，不僅可以提升員工對釣魚郵件的警覺，也可以透過各種密碼管理等工作坊的活動，持續強化員工的資安意識，並培養組織的安全文化。

她表示，人資部門可以透過對員工關懷的過程中，發現不安全的使用習慣，例如密碼張貼在螢幕旁邊等，也能及時介入並思考解決方案；其他有助於加強公司對資安細節的重視，包含個資、薪資或其他機敏資料的檔案加密，或是採用人臉辨識的門禁系統等，也能提升公司對外的專業形象。

資安證照是數位時代通識，可從CC證照入手

那麼，資安證照在這一轉型過程中，扮演何種角色？鄭惠如堅定地表示，資安證照絕非IT工程師的專屬。她認為，資安證照是「數位時代的通識」，有一些基礎的資安證照，特別適合任何有機會處理機敏資訊、管理風險、推動轉型的人。「對於人資和財務這類非IT背景的專業人士而言，取得資安證照能帶來多重顯著的好處。」她說。

最明顯而立即的好處就是：有助於建立共通語言與提升溝通效率。鄭惠如指出，資安證照能幫助人資和財務人員建立資安基礎概念，擁有與IT部門溝通的共通語言，這也使得跨部門協作更加順暢，無論是在制定資安政策、應對突發事件，或是在日常工作中匯報資安疑慮，都能更有效率。

其次，有助於提升專業形象與信任基礎。鄭惠如表示，人資和財務部們在處理敏感的個資和財務資料時，具備資安知識不僅能對內展現專業性，建立組織內部的信任基礎；對外，在與外部稽核、客戶、供應鏈夥伴等進行互動時，因為對資安有基本理解也能展現專業形象，使應對更具說服力。她就曾經發現，因為公司對檔案加密等小細節的注重，讓員工覺得公司很注重資安，也提升了對外的形象。

第三，賦能政策制定與流程優化，將資安觀點整合到人資和財務等內部控制措施和業務流程中，也能提升規範的全面性與執行力。她認為，人資懂資安，能更有效率地參與制定員工離職流程的安全規範、資料保留等政策。

第四，擴展職涯視野與晉升機會。她認為，資安證照證明了非IT背景人士，具備跨領域學習的能力，這使得相關的人資和財務部們同仁，在企業內部更具競爭力，也有更多機會擔任管理職或進行橫向調動，特別是那些需要跨部門協作或涉及資訊治理的專案。她也引述報告數據顯示，跨領域人才擔任管理職的比例（59%）遠高於單一專長者（30.9%）。

第五，具備增加薪資的潛力。她表示，具備雙專長的人才，其薪資中位數相較於單一專長者高出近萬元，像是資安證照能為人資或財務專業人士，增加關鍵的「雙專長」優勢。

最後，資安證照可以作為優化人才招募與篩選參考。她以個人經驗觀察到，具備資安知識的人資，在篩選履歷時，更能識別出具備基礎資安概念的應徵者，即使應徵職位非純資安，這也能視為加分項，有助於建立整體員工的資安意識防線。

對於非IT背景的人資和財務人員，如何踏出資安證照的第一步？鄭惠如建議，ISC2的CC（Certified in Cybersecurity）就是一個最好的入門級證照。她特別提到，CC證照第一次考試是免費的，ISC2也會提供官方教材和線上學習資源。她認為，即使不參加CC證照考試，光是學習這些教材並完成練習題，也能建立基礎的資安概念和了解。

除了證照本身，鄭惠如認為參與資安社群具有極大的影響力。她本人身為ISC2臺北分會（Taipei Chapter）的監事和臺灣敏捷部落Agile HR的社長，透過每個月的講座或社群交流，都有助於強化人資和財務等非IT背景成員的資安意識和提升第二專長。

鄭惠如分享了臺灣敏捷部落中一些商科背景的人資夥伴，在她的帶領和社群學習下，成功考取CC證照，甚至有夥伴在考取CC證照後被調往公司其他部門，並進一步考取了CISSP證照。她說：「這證明了資安證照和社群力量，能夠實質推動個人的職涯發展。」

說服公司高層投資資安，從免費資源到風險規避

如何說服企業高層投資員工資安培訓與證照預算？鄭惠如建議，可以從「零成本」的ISC2 CC證照開始推廣，鼓勵員工先利用免費資源學習基礎知識。

例如，對照資安事件的高額損失成本和漫長修復時間，投資於員工資安意識提升和證照培訓，實際上是降低潛在巨大經濟損失的有效手段，是企業永續經營的基礎投入。

再者，許多法規和證券交易所已對資安提出明確要求，提升員工資安意識並擁有相關證照，有助於企業通過外部稽核，降低法律風險。

第三，員工資安意識提升能減少因人為疏失導致的問題，提高工作效率。對資安的重視也能作為雇主品牌的差異化籌碼，吸引並留住具備前瞻視野的人才。

以人才招募為例，鄭惠如從人資的視角，解釋了他們如何看待資安證照與個人能力的關係。她指出，HR在篩選履歷時，不只是看證照本身，更關注證照的「辨識度」（指業界是否普遍認可）、「實用性」（指能否對應工作技能）和「職位對應度」（指是否適合該職位）。

她坦承，人資部門通常不具備深厚的IT技術背景，他們需要透過證照這類具備「辨識度」的標示，來快速判斷應徵者是否具備基礎的資安概念。用她的話來說：「如果沒考到證照，沒有辦法在人資部門面前證明你具備相關技能」。她說：「證照就像履歷的『第一關篩選器』。」

然而，她也認同「考上證照不代表你有能力」的觀點。為了辨識應徵者的實際能力，人資會進一步查看應徵者其他的學習經驗，例如是否參加過相關社群、工作坊，是否有實際專案經驗或作品；相關部門主管在面試時，也會深入詢問證照相關的內容，以判斷應徵者是否「真正」理解並能運用所學知識。

對於非IT背景的應徵者，她建議可以透過量化成果或情境敘事，具體說明如何在實際工作中，運用資安概念解決問題或優化流程，來證明自己的實用性和價值。

鄭惠如深刻意識到：在日益複雜的數位環境中，資安防線已不再是IT部門的單一責任。她坦言，人資和財務部門作為企業核心資料和流程的管理者，其資安意識和能力，甚至直接關係到企業的生死存亡與永續發展。