人的資源に対する管理策は、企業、組織の従業員の雇用前、雇用期間中、雇用の終了、変更時を対象にしています。
人的資源のセキュリティ
雇用前
選考
- すべての従業員候補者についての経歴などの確認は、関連する法令、規制及び倫理に従わなければならない。また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行なわなければならない
雇用条件
- 従業員及び契約相手との雇用契約書には、情報セキュリティに関する各自の責任及び組織の責任を記載しなければならない
雇用期間中
経営陣の責任
- 経営陣は、組織の確立された方針及び手順に従った情報セキュリティの適用を、すべての従業員及び契約相手に要求しなければならない
情報セキュリティの意識向上、教育及び訓練
- 組織のすべての従業員及び関係する場合には契約相手は、関連する組織の方針及び手順についての、適切な、意識向上のための教育及び訓練を受けねばならず、また、定めにしたがってその更新を受けなければならない
懲戒手続き
- 情報セキュリティ違反を犯した従業員に対しての処置をとるための、正式かつ周知された懲戒手続きを備えねばならない
雇用の終了及び変更
雇用の終了または変更に関する責任
- 雇用の終了または変更の後もなお有効な情報セキュリティに関する責任及び義務を定め、その従業員または契約相手に伝達し、かつ遂行させなければならない
労働基準法、男女雇用機会均等法、その他関連する指針などの法令及び倫理を順守した手続きが取られることが選考する上での前提となります。
さらに、事業上の要求事項、雇用後に従事する業務上の特性といったものを考慮した適切な選考プロセスが要求されます。
過去の経歴などの確認、事業に従事した場合の業務内容と順守すべき事項の提示などを行なうことで、雇用後のリスクを低減させることが求められます。
雇用契約書には、雇用条件としての情報セキュリティに関する責任、義務が含まれます。
業務に関する守秘義務、会社、組織から貸与された機器、システムの私的利用の禁止などが具体例として挙げられます。
特に、守秘義務については雇用契約終了後も有効である旨を通知した上での、同意を得る必要があるでしょう。
雇用期間中に求められる事項としては、まず経営陣の責務が挙げられます。
情報セキュリティポリシに従った各種の基本的な管理策をすべての従業員及び契約関係のある相手に要求し実施させる役割が求められるのです。
またそれらを具体化するために、すべての従業員、契約関係者に対して情報セキュリティに対する要求条件、従うべき標準や手順を教育、訓練する必要があります。
それぞれ、対象とする人材やその役割を意識したものが必要となります。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ