P的胡言亂語

巧遇前同事，得知前公司近期接獲檢舉，公司內部有中階管理人員能以『稽核』名義，隨意跨越資安權限調閱監視器，甚至針對特定員工增設監控設備。
這在外部審計看來，是極為嚴重的『管理階層越權（Management Override）』行為。

我是想請問公司：
我們標榜的 ISO 27001 資安認證，是否允許個人因私怨而繞過審核程序調閱影像？

如果連最基礎的實體監控權限都失控，公司如何保證更核心的電信數據、客戶個資與內部財務資訊不被同樣的方式非法挪用？

對於這種假借稽核名義、實則侵害人權與資安規範的行為，審計委員會與獨立董事是否有掌握？這是否已經構成審計醜聞？


但曾擔任審計的北商老師說，如果要在股東大會發言，請將重點放在公司價值受損：

論點一：法律訴訟風險與賠償
主席，這類濫用監控的行為一旦引發集體訴訟或勞檢裁罰，對公司的商譽損失是無法估量的。
請問公司針對『非安全目的』的監視器調閱，是否有建立預防性的系統性攔截機制？

論點二：審計報告的真實性
主管假借稽核名義增設監控，這意味著該單位的稽核數據可能是被操弄的。
身為股東，我懷疑公司提供的年度內控聲明書是否具有真實性？審計委員會是否曾抽查過監視器調閱日誌？

論點三：資安防禦的虛無化
如果內部的資安防線對有私心的主管形同虛設，我們如何相信公司能保護數百萬客戶的通訊個資？這是否代表公司存在『內部人威脅（Insider Threat）』的重大漏洞？