情報セキュリティの学習プロセスと対象
組織を構成する全要員に対し、情報セキュリティに対する意識向上が必要です。
情報セキュリティリテラシーの向上です。
現代、ITの利用がごく当たり前の行為になっています。
メール、Webブラウジングなどのインターネット利用、パスワード管理、クリアディスク、クリアスクリーンなど、日常的な活動を行う上で気を付けるべき点を確実に遂行する必要があります。
これらは、基本的な知識の付与、実践できているかの確認もしくは訓練、が必要となります。
この学習プロセスは見直し、改善を状況の変化に応じてしていく必要もあります。
情報セキュリティに対する教育、訓練体系
業務に対応した情報セキュリティに対する教育、訓練体系も必要です。
現代の組織は、さまざまな業務を対応する内部組織で分担して実施しています。
それぞれの内部組織毎に業務遂行上必要となる情報セキュリティへの対応を行なわなければなりません。
教育の最初のステップは、業務に依存した情報セキュリティに対する手順と、その目的の理解、実践です。
組織内部での対応するドキュメントの確立と、行なわれた手順に対する記録、これを定期的に改善して行く現場レベルでの学習プロセスが重要です。
情報セキュリティに関する專門家の育成
最後は、情報セキュリティに関する專門家の育成になります。
経営レベルではCIO、CISOなどのメンバーが経営に必要となる知識をもち、情報インシデント発生を想定した判断、対応などの手順を日常的に確認、あるいは計練を行なうことなどが考えられます。
内部統制レベルではISMSをはじめとする情報セキュリティマネジメントに関する知識付与の実践が要求されるでしょう。
自社内でSOCやCSIRTをもつ場合には、それぞれの立場に応じた専門的な知識、学習が必要です。
これらは、外部のさまざまな機関を通じて行なわれている教育、訓練の利用、日常的に各種セミナーや研究会への参加する、などといった外部組織との連携が重要になります。
いずれにしろ、情報セキュリティ專門組織は情報セキュリティインシデント管理に対応できる機能をもたねばなりません。
懲戒手続きとしての情報セキュリティ管理策
懲戒手続きの整備を人的資源に対する情報セキュリティ管理策として忘れてはなりません。
情報セキュリティに違反した場合の罰則規定、懲戒手続きを就業規則や罰則規定の中に入れておくことを意味しています。
実際に情報セキュリティ違反が発生した場合に、どのような懲戒手続きを用意していたかで対応が困難であったり、法的に有効でない場合もあるのです。
「情報セキュリティ違反の重大さ」、「情報セキュリティ違反が繰り返されていたか」、「必要な対策や教育が行なわれていたか」、「法的に有効な手続きか」といった観点で、懲戒手続きを用意しておく必要があるでしょう。
雇用終了・変更に対する情報セキュリティ管理策
最後は、雇用終了または変更に対するものです。
雇用の終了あるいは変更が行なわれる場合のプロセスの整備が必要です。
組織の利益を保護するために貸与していた資産の返却、各種アクセス権の削除などの手続きを確実に実施するためです。
雇用や契約の終了後もある一定期間、情報の内容によっては無期限に秘密保持を含むセキュリティの義務が発生することを雇用契約書によって再度確認する必要があります。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ