ISMSの基となる規格JIS Q 27001の「7.2 力量」の証明や、「A.7.2.2 情報セキュリティの意識向上、教育及び訓練」へ対応するための手段として、毎年従業者の方へ何らかの教育やテストを行う組織は多いのではないでしょうか。

規格上で求められていることは「必要な力量を定めてその力量を満たしていることを確認する」「情報セキュリティ意識向上のための教育などを行う」ということであり、具体的にどういった内容を含んだ教育を実施してくださいとは明記されていません。
そのため、毎年教育を行っていると、どのような内容をテーマにすればいいのか分からなくなってくる担当者の方もいると思います。

そこで今回は、ISMSで教育を実施する際に内容にできるようなテーマについて考えてみたいと思います。

教育テーマの一例

この章では、大きなテーマごとに教育のテーマになるようなことをいくつかご紹介します。

ISMSそのものをテーマにする

はじめにご紹介するのが、従業者の方にもISMSについて学んでもらう方法です。

ISMSの取り組みをしていると、運用担当者の方は教育の受講や実際の運用を通してISMSについてある程度詳しくなっているかと思います。ただ、多くの従業者の方はISMSそのものがどういうものか、どういう仕組みなのかについては把握していないのではないでしょうか。

そこで、従業者の方にもISMSをテーマとした教育を受けてもらうことで、ISMSをより理解して取り組みに関わってくれるかもしれません。また、より詳細に「情報資産の洗い出し方」や「リスクアセスメントの方法」などを紹介すると、各部署の資産管理・リスク管理などの細かい取り組みのレベルアップにもつながり、ISMSがより質の高いものとなるでしょう。

業務上よくあるミス・リスクへの対応策をテーマにする

続いてご紹介するのが、業務上よくあるミスや、実際に洗い出して判明した影響度の大きそうなリスクへの対応策を教育のテーマとする方法です。

この方法は、情報セキュリティ意識向上につながることはもちろんですが、さらに、業務ミスの発生やリスクの発生可能性自体を軽減させる効果も発揮する可能性があります。
結果として、従業者のセキュリティ意識が向上する上に、業務効率・生産性まで向上するという二重でお得な教育になるのではないでしょうか。

情報セキュリティ事故事例をテーマにする

最後にご紹介するのは、実際に発生した情報セキュリティ事故の事例をテーマに教育を実施する方法です。
この方法で得られる効果として大きいのは、「実際に発生しているというリアリティを与えることができる」ということでしょう。

例えばウイルス感染やサイバー攻撃、情報漏えいといわれても、あまり現実味を感じない方も少なからずいるかもしれません。しかし、実際にそういった事故が発生したといわれると、もしかしたら自分たちの身にもと緊張感を持ってもらえるかもしれません。

また、事故事例をテーマとすることによるメリットとして、「ネタ切れすることがない」「最新のセキュリティリスクを常に教材にし続けられる」ということがあります。
もちろん事故事例がある世の中というのはあまりいいものではないのですが、現実問題として情報セキュリティ事故は一定数発生し続けており、テーマに困ることがありません。さらに、事故の発生傾向から最新の情報セキュリティリスクを把握することも可能です。

まとめ

今回は、情報セキュリティ教育を行う際にテーマにできそうなことをいくつか紹介してみました。
もちろん上記のようなテーマ以外にもより専門的な内容や技術的な内容を組み込むなど様々な案を考えることができます。
ISMSを運用していく上で、従業者のどのような意識をもっと上げていきたいか、どのような目的を達成したいのかということを考えながら、合った教育内容を検討してみてはいかがでしょうか。

弊社サービスSeculioの「eラーニング」機能では毎月様々な内容をテーマとした新たな教材を配信しており、従業者の皆様に配信していただくことが可能です。
自分たちで教育内容を考えるのは少し難しいと感じている方や、常に新たな教材に触れられる環境を作りたいという方などはぜひご一考ください。

情報セキュリティ教育の内容ってどうすればいい?

ISMSの基となる規格JIS Q 27001の「7.2 力量」の証明や、「A.7.2.2 情報セキュリティの意識向上、教育及び訓練」へ対応するための手段として、毎年従業者の方へ何らかの教育やテストを行う組織は多いのではないでしょうか。

規格上で求められていることは「必要な力量を定めてその力量を満たしていることを確認する」「情報セキュリティ意識向上のための教育などを行う」ということであり、具体的にどういった内容を含んだ教育を実施してくださいとは明記されていません。
そのため、毎年教育を行っていると、どのような内容をテーマにすればいいのか分からなくなってくる担当者の方もいると思います。

そこで今回は、ISMSで教育を実施する際に内容にできるようなテーマについて考えてみたいと思います。

教育テーマの一例

この章では、大きなテーマごとに教育のテーマになるようなことをいくつかご紹介します。

ISMSそのものをテーマにする

はじめにご紹介するのが、従業者の方にもISMSについて学んでもらう方法です。

ISMSの取り組みをしていると、運用担当者の方は教育の受講や実際の運用を通してISMSについてある程度詳しくなっているかと思います。ただ、多くの従業者の方はISMSそのものがどういうものか、どういう仕組みなのかについては把握していないのではないでしょうか。

そこで、従業者の方にもISMSをテーマとした教育を受けてもらうことで、ISMSをより理解して取り組みに関わってくれるかもしれません。また、より詳細に「情報資産の洗い出し方」や「リスクアセスメントの方法」などを紹介すると、各部署の資産管理・リスク管理などの細かい取り組みのレベルアップにもつながり、ISMSがより質の高いものとなるでしょう。

業務上よくあるミス・リスクへの対応策をテーマにする

続いてご紹介するのが、業務上よくあるミスや、実際に洗い出して判明した影響度の大きそうなリスクへの対応策を教育のテーマとする方法です。

この方法は、情報セキュリティ意識向上につながることはもちろんですが、さらに、業務ミスの発生やリスクの発生可能性自体を軽減させる効果も発揮する可能性があります。
結果として、従業者のセキュリティ意識が向上する上に、業務効率・生産性まで向上するという二重でお得な教育になるのではないでしょうか。

情報セキュリティ事故事例をテーマにする

最後にご紹介するのは、実際に発生した情報セキュリティ事故の事例をテーマに教育を実施する方法です。
この方法で得られる効果として大きいのは、「実際に発生しているというリアリティを与えることができる」ということでしょう。

例えばウイルス感染やサイバー攻撃、情報漏えいといわれても、あまり現実味を感じない方も少なからずいるかもしれません。しかし、実際にそういった事故が発生したといわれると、もしかしたら自分たちの身にもと緊張感を持ってもらえるかもしれません。

また、事故事例をテーマとすることによるメリットとして、「ネタ切れすることがない」「最新のセキュリティリスクを常に教材にし続けられる」ということがあります。
もちろん事故事例がある世の中というのはあまりいいものではないのですが、現実問題として情報セキュリティ事故は一定数発生し続けており、テーマに困ることがありません。さらに、事故の発生傾向から最新の情報セキュリティリスクを把握することも可能です。

まとめ

今回は、情報セキュリティ教育を行う際にテーマにできそうなことをいくつか紹介してみました。
もちろん上記のようなテーマ以外にもより専門的な内容や技術的な内容を組み込むなど様々な案を考えることができます。
ISMSを運用していく上で、従業者のどのような意識をもっと上げていきたいか、どのような目的を達成したいのかということを考えながら、合った教育内容を検討してみてはいかがでしょうか。

弊社サービスSeculioの「eラーニング」機能では毎月様々な内容をテーマとした新たな教材を配信しており、従業者の皆様に配信していただくことが可能です。
自分たちで教育内容を考えるのは少し難しいと感じている方や、常に新たな教材に触れられる環境を作りたいという方などはぜひご一考ください。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする