情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策

情報セキュリティの学習プロセスと対象

組織を構成する全要員に対し、情報セキュリティに対する意識向上が必要です。

情報セキュリティリテラシーの向上です。

現代、ITの利用がごく当たり前の行為になっています。

メール、Webブラウジングなどのインターネット利用、パスワード管理、クリアディスク、クリアスクリーンなど、日常的な活動を行う上で気を付けるべき点を確実に遂行する必要があります。

これらは、基本的な知識の付与、実践できているかの確認もしくは訓練、が必要となります。

この学習プロセスは見直し、改善を状況の変化に応じてしていく必要もあります。

業務に対応した情報セキュリティに対する教育、訓練体系も必要です。

現代の組織は、さまざまな業務を対応する内部組織で分担して実施しています。

それぞれの内部組織毎に業務遂行上必要となる情報セキュリティへの対応を行なわなければなりません。

教育の最初のステップは、業務に依存した情報セキュリティに対する手順と、その目的の理解、実践です。

組織内部での対応するドキュメントの確立と、行なわれた手順に対する記録、これを定期的に改善して行く現場レベルでの学習プロセスが重要です。

最後は、情報セキュリティに関する專門家の育成になります。

経営レベルではCIO、CISOなどのメンバーが経営に必要となる知識をもち、情報インシデント発生を想定した判断、対応などの手順を日常的に確認、あるいは計練を行なうことなどが考えられます。

内部統制レベルではISMSをはじめとする情報セキュリティマネジメントに関する知識付与の実践が要求されるでしょう。

自社内でSOCやCSIRTをもつ場合には、それぞれの立場に応じた専門的な知識、学習が必要です。

これらは、外部のさまざまな機関を通じて行なわれている教育、訓練の利用、日常的に各種セミナーや研究会への参加する、などといった外部組織との連携が重要になります。

いずれにしろ、情報セキュリティ專門組織は情報セキュリティインシデント管理に対応できる機能をもたねばなりません。

懲戒手続きの整備を人的資源に対する情報セキュリティ管理策として忘れてはなりません。

情報セキュリティに違反した場合の罰則規定、懲戒手続きを就業規則や罰則規定の中に入れておくことを意味しています。

実際に情報セキュリティ違反が発生した場合に、どのような懲戒手続きを用意していたかで対応が困難であったり、法的に有効でない場合もあるのです。

「情報セキュリティ違反の重大さ｣、「情報セキュリティ違反が繰り返されていたか｣、「必要な対策や教育が行なわれていたか｣、「法的に有効な手続きか」といった観点で、懲戒手続きを用意しておく必要があるでしょう。

最後は、雇用終了または変更に対するものです。

雇用の終了あるいは変更が行なわれる場合のプロセスの整備が必要です。

組織の利益を保護するために貸与していた資産の返却、各種アクセス権の削除などの手続きを確実に実施するためです。

雇用や契約の終了後もある一定期間、情報の内容によっては無期限に秘密保持を含むセキュリティの義務が発生することを雇用契約書によって再度確認する必要があります。