経営者の方役職員への情報セキュリティ教育の実施

本文を印刷する

役職員への情報セキュリティ教育の実施

情報セキュリティ教育の目的:情報セキュリティ意識の向上

情報セキュリティ対策を組織内に浸透させるためには、役職員ひとりひとりの情報セキュリティ意識の向上、意識改革が必要ですが、これは思うより難しいものです。そこで、情報セキュリティポリシーなどの組織内の情報セキュリティ上のルールを守る風土作りが大切になりますが、それに有効なのが「教育」です。組織における情報セキュリティ教育は、「情報セキュリティポリシーを周知徹底する」「情報セキュリティの脅威と対策を知る」という2点になります。

1) 情報セキュリティポリシーを周知徹底する

組織内の情報セキュリティ対策の第一歩が組織の情報セキュリティポリシーを作成することです(参考「情報セキュリティマネジメントとPDCAサイクル-情報セキュリティポリシーの策定」
しかし、情報セキュリティポリシーを策定しただけでは組織内の情報セキュリティ対策が出来たとはいえません。その組織で働く役職員全員に、自分の役割は何か、具体的にどのように情報セキュリティポリシーを守るのか、を周知徹底することこそが大事なのです。
では、どのように周知徹底したらいいのか、そのポイントをまとめました。

  • 役割と責務の確認と徹底
  • 情報の機密性のランクとランクに応じた取扱いの徹底
  • 個人情報取扱い時の注意事項の徹底
  • 情報やPCの持ち出しに関する規定
  • ソフトウエアインストールに関する規定
  • 遵守事項、禁止事項、推奨事項 を伝える(特に重要な点は強調する)
  • 守らなかった場合の結果を示す:罰則や組織への被害など
  • 監視していることを伝える
  • セキュリティポリシー(基本方針、対策基準)と実施手順はいつでも見れるようにしておく(職場に配布、イントラネットに掲示)

2) 情報セキュリティの脅威と対策を知る

何故、情報セキュリティポリシーを守る必要があるのかがわからないとポリシーを守り続けることは困難です。そのために、実際の事例を伝えることも大切です。

  • 脅威と被害を教える
    • インターネット上の脅威(ウイルス、ボット、スパイウエア、詐欺)
    • インターネット上の被害(何をすると被害にあうのか)
  • 基本的な対策を教える(脆弱性対策・ウイルス対策)
  • 基本的な心構えを教える(メールやWeb閲覧、ソフトの取扱い等)
  • ウイルスや脆弱性情報など緊急に対処すべき事項はメールなどで通知

情報セキュリティ教育の対象

情報セキュリティポリシーは、役職員への教育だけではなく、業務に携わるすべての人に周知徹底する必要があります。以下の人たちへの教育も忘れずに行いましょう。

  • 全ての従業員が対象:派遣社員、アルバイト、管理職、役員、社長も対象
  • 業務委託先の教育にも留意

情報セキュリティ教育のタイミング

教育のタイミングには以下が考えられます。上手く組み合わせて教育を実施しましょう。

  • ポリシーの運用開始時
  • その後定期的に行なう(1年に1回程度)
  • ポリシーの変更時、事件・事故後
  • 新人研修(中途採用)OJT、異動時研修(業務が変わった場合)
  • 守ってないことが発覚した場合の再教育

教育の方法

教育は、それぞれにあった方法がありますが、例えば次のような方法があります。

  • クラス形式やe-ラーニング
  • 情報セキュリティ読本」などを課題図書として読ませ、テストにより理解度を見る。
  • 自己点検チェックシートなどを配布して記入させ、ポリシーの遵守状況を見る。

教育の記録とフォローアップ

情報セキュリティポリシーを守るには、継続した取り組みが重要です。そのためには以下のことをきちんと継続して行いましょう。

  • 誰にいつ、どのような教育をしたかを記録に残し、全員漏れなく教育を行う。
  • セキュリティ環境の変化に伴い、教えた内容が陳腐化してしまう定期的(半年、1年程度)なフォローアップ教育が必要
  • 理解度や遵守状況が悪い場合は、フォローアップ教育を行う。