導入・構築したISMSの有効性・実効性は、組織の従業者がISMS基本方針・ISMS基本規定・情報セキュリティーの管理規定・手順書・手引書・マニュアル等のルールを遵守し、ISMSが適正に運営されることによって確保されます。従業者の中の1人でもルールを知らなかったり無視したりすれば、情報セキュリティーが十分に機能することは、期待できません。事実、情報セキュリティー事故の中の情報の漏洩事故は、組織の外部の者に原因がある場合よりも、組織の内部の者(従業者)に原因がある場合が、ほとんどの割合を占めています。
従業者に対するISMSについての教育・訓練は、ISMSの有効性・実効性の確保、また情報セキュリティーが確実に機能するために、不可欠かつ極めて重要な要素になります。ISMSの教育・訓練は、組織のすべての従業者に対して、漏れなく実施しなければなりません。また、教育・訓練の効果を維持するため、ISMSの導入時だけではなく、定期的・継続的に実施される必要があります。 |
| |
| 1.従業者に必要な力量の決定 |
|
ISMSが準拠する「JIS Q 27001:2006」では、「教育・訓練、意識向上及び力量」として、「組織は、ISMSに定義された責任を割り当てた要員すべてが、要求された職務を実施する力量をもつことを、次の事項によって確実にしなければならない。」と規定し、そこに挙げられた事項の1番目に「ISMSに影響のある業務に従事する要員に必要な力量を決定する。」と規定されています。
ISMSの運営は、情報セキュリティーに関して必要な力量(知識・能力)を持った従業者によって行われなければ、その効果が十分に発揮されることはありません。リスクアセスメントの結果判明した事実に基づき、情報セキュリティーの有効性を確保する上で必要される力量(知識・能力)を明確にし、各従業者がその力量を身に付けることができるように、教育・訓練を実施していきます。 |
| |
| 2.教育・訓練計画 |
|
決定した情報セキュリティーに必要な力量を従業者に身に付けさせるために、教育・訓練計画を策定します。教育・訓練計画は優先的に力量の向上を図る必要がある知識・能力から教育・訓練が実施されるように策定される必要があります。優先順位は、[必要とされる力量]−[現状の力量」で算出される値の大きさで決定します。
また、教育・訓練の効果が生じるのに時間が掛かる場合や情報セキュリティー業務を実施する従業者がいない場合は、必要な知識・能力を持つ者の新たな雇用、当該業務の委託等によって、必要とされる力量のレベルを確保します。
教育・訓練は、情報セキュリティーに関する知識・能力のみでなく、ISMS基本方針・ISMS基本規定・情報セキュリティーの管理規定・手順書・手引書・マニュアル等のルールを遵守することの重要さを理解させるなど、従業者のモラルの向上を図る内容である必要があります。
教育・訓練の計画は、以下の事項について策定します。
@年間教育計画
@)年間を通して、すべての従業者に、必要とされる力量を満たすための教育・訓練を
行うこと
A)対象者の力量に応じた教育・訓練の目的・内容を設定すること
B)教育・訓練の実施時期を従業者の異動時期に連動させて設定すること
A個別教育計画
@)教育・訓練の目的
A)教育・訓練の対象者
B)教育・訓練を実施する者・組織
C)教育・訓練の実施時期・期間・場所
D)教育・訓練の方法(集合・個別研修、講義、グループディスカッション等)
E)教育・訓練の内容(カリキュラム、テキスト等)
F)教育・訓練への参加形態(強制参加・任意参加等)
G)教育・訓練実施の通知手続(通知時期・通知方法等)
H)教育・訓練効果の測定方法(アンケート・テスト等)
I)教育・訓練の実施に必要な予算・費用 |
| |
| 3.教育・訓練の実施 |
|
策定した計画にしたがって、教育・訓練を実施します。教育・訓練は、計画に基づいた研修のみではなく、日々の仕事の中(OJT)や従業者個々の自己学習においても行われる必要があります。 |
| |
| 4.教育・訓練の効果の評価 |
|
教育・訓練を実施した場合、その目的とした力量を従業者が習得できたかを測定・評価する必要があります。教育・訓練の有効性の測定・評価結果は、次の教育・訓練計画に反映され、より有効性の高い研修を実施するために活用します。
教育・訓練の測定には、以下の方法を用います。
@研修後のアンケートの記入
A理解度テストの実施 |
| |
| 5.教育・訓練の記録 |
|
実施した教育・訓練の内容は、その受講者・アンケート結果・テスト結果・をも含めて記録し、保管します。教育・訓練の記録は、研修を必要とする力量の判別、重点教育・訓練目的の設定、研修対象者の選定等、その後の教育・訓練計画を策定する上での参考資料とします。 |
| |
| 6.従業者の確実な認識 |
|
「JIS Q 27001:2006」では、「組織は、また、関連する要員すべてが、自らのセキュリティーについての活動がもつ意味と重要性とを認識し、ISMSの目的の達成に向けて、自分はどのように貢献できるかを認識することを確実にしなければならない」と規定されています。ISMSは、どのようなセキュリティー機器・装置を導入したとしても、人(組織の従業者)による適正な運営によって、その目的が達されます。
教育・訓練を行うに際しても、従業者個々の力量(知識・能力)と情報セキュリティーに関する自覚・認識の両方を高めることをその目的としなければなりません。 |
| |
|
| 前ページへ |
Top Page