ISMSの枠組みが構築できたら、次は現場の従業員に導入研修(ISMS教育)を実施します。従業員のITリテラシーには個人差があるうえ、ルールの意義や必要性を理解してもらわないと、ISMSの仕組みがうまく機能しません。
ここではISMS教育の導入においての3つのポイントを解説します。
また、LRMがご提供する「セキュリオ」のeラーニング機能では、ISMS認証に必要な従業員教育を3ステップで簡単にカバーできます。ぜひお試しください。
ISMS教育の対象者と内容
ISMS教育の受講対象者は、ISMSの適用業務に携わるすべての従業員(委託先/利害関係者)です。ただし、全員一律の一括研修ではなく、ISMSが適用される職務ごと、部門ごとに必要十分な知識・技能を身につけさせる教育が適します。さらに、座学だけでなく対応訓練のシミュレーションを実施できれば、実務が関係者に腹落ちしやすくなります。
ISO 27001の認証審査では、教育計画と実施結果について確認されます。
教育の「対象者」「実施日」「内容」をすべて記録に残し、対象者全員に漏れなく教育を実施します。実施結果は対象者が必要な知識が得られたかで判断されます。教育実施後に個別アンケートを行うなどして、受講者の達成度を測定し記録することも必要です。
大事なのは、対象の従業員がそれぞれの役割や責任範囲、求められる行動や禁止事項、各々の目的と必要性が理解できるように、わかりやすいかたちで提供されることです。
教育対象と内容の対応例
| 役割 | 必要とされる教育内容 | 教育内容の例 |
|---|---|---|
| 従業員共通 | 情報セキュリティ全般 | リスクおよびその影響社内ルールの周知 |
| 部門のISMS管理担当者/事務局 | ISMSの維持管理の実務 | ISMS全般、関連法令情報資産の管理方法情報セキュリティ対策インシデント情報の共有 |
| ITシステム運用管理者/開発者 | セキュリティの技術知識 | 脆弱性を回避する構築/開発手法最近のサイバー攻撃の傾向 |
| トップマネジメント | ISMSの体制や管理全般 | 組織全体のISMSの取り組み・体制自社サービスのセキュリティ |
| 内部監査人 | 内部監査の知識 | 内部監査の概要・進め方セキュリティポリシー監査対象のISMSの運用実態 |
ISMSはPDCAによる改善を志向しているため、教育に関しても適宜改善や改訂が必要です。
環境や時流の変化にともなう知識の陳腐化を避けるため、定期的なフォローアップ教育を実施します。運用ルールの変更や従業員の異動など、必要なタイミングで教育を提供し、円滑なISMS運用を支援します。
ISMS教育の手段
ISMS教育は各々の組織の事情に応じて、最適な手段を選定します。
ISMS教育の手段には次のようなものがあります。
- eラーニング
- 集合教育
- 文書の読み合わせ
それぞれについて詳しく説明します。
eラーニング
eラーニングは手軽に導入できるため、ISMS教育だけでなく、さまざまな分野で活用されています。
- eラーニングの特徴
-
- 低コスト
- 管理工数の削減
- 視聴態度が把握できない
eラーニングは低コストで管理工数をかけず、手軽に実施できるのがメリットです。閲覧端末と通信環境があれば、受講人数や開催場所を問いません。単独受講も可能で、小規模な組織でも導入できます。会場の手配や関係者のスケジュール調整、受講者の出席確認は不要で、受講結果の自動集計・保管もでき、管理が楽なため多くの企業で導入されています。
弊社の「セキュリオ」は、ISMSコンサルタント監修教材90種類以上や毎月更新される最新の教材でeラーニングをご利用いただけます。お気軽にお試しください。
eラーニングのデメリットとしては、従業員がまじめに受講したかが分かりづらいという点が挙げられます。教材を視聴せず画面をスキップしたり、テストの答えを同僚と相談したり、といったことも可能になりますので、注意が必要です。
集合教育
集合教育とはISMS教育の対象者を集めて講義を行うものです。集合教育の提供方法には一斉講義のほか、グループディスカッション・発表をからめて受講意欲と効果を持たせる方法もあります。
- 集合教育の特徴
-
- 日程調整や会場の用意
- 受講状態の管理が可能
- 双方向のフィードバックが可能
- テスト回収・集計が手作業に
集合教育のメリットは、受講者に教育内容が定着しやすい点です。たいていの場合、人はコンテンツの自動再生より、講師の肉声で説明されたほうが頭に入ります。
集合教育では受講者の意欲や知識レベルに応じて柔軟に講義を進行したり、質疑応答により疑問点をその場で解消できるため、ISMSの知識が身につきやすいです。万一受講態度が悪ければ矯正できるため、真の教育効果が得られ、現場におけるインシデント発生率の低減につながるでしょう。
集合教育は教育効果が高い反面、その分手間とコストがかかります。会場設営・運営コストに加え、受講テスト集計のような煩雑な事務作業も発生します。新入社員のオリエンテーション研修など、組織運営上、高い相乗効果が見込める場合に採用しやすい方法でしょう。
ISMS文書の読み合わせ
ISMS教育として、教材視聴や講義形式とは異なる「読み合わせ」といった自主学習会のようなスタイルも許容されています。ISMS教育は適用範囲の業務に携わる人々が必要な知識を獲得でき、参加者に情報を適切に取り扱える能力があると証明できればどんな形式でもかまいません。
- 「文書読み合わせ」の特徴
-
- 低コストかつ手間がかからない
- 相互確認によるすり合わせが可能
文書読み合わせは部門ごとに実施するのが実用的です。開催場所は会議室や、いつものオフィスの自席で十分です。教育専用の資料をわざわざ作成したり、授業構築すらも不要です。
最低限、参加者のスケジュール調整と、既存のISMS文書の配布、習熟度チェックを実施すればいいという簡便さがあります。
ISMSの基準書や手順書の読み合わせにより、相互確認による認識の誤りをなくし、各人が留意すべき対象や手順が明確になり、ルールの定着が期待できます。
ISMS教育の実施者
ISMS教育の担当者の割り当ては、組織の実情にあわせて決定します。
- ISMS教育実施でよく見られる主体
-
- 社内教育の主管部門
- ISMS管理責任者
- ISMS推進チーム(事務局)
- 外部セミナー
組織運営での機能で見た場合、人事教育を担う「人事部」、情報管理一般を管轄する「総務部」、IT管理部門の「情報システム部」がISMS教育にあたるのが適当といえます。
サービス事業者などで戦略的に情報セキュリティを重視しており、リソースも十分であれば、ISMSの管理責任者や推進部隊が教育まで直接担当することもありえます。
企業のISMS教育には「セキュリオ」がオススメ
ISMS教育の導入を検討されているなら、LRMのセキュリティ教育クラウド「セキュリオ」をご検討ください。
セキュリオならばISMS教育に必要な教材の作成や、テストの採点・結果集計も自動化でき、セキュリティ教育にかかる負担を大きく軽減できます。
教材は弊社のISMSコンサルタントが監修し、さらに毎月最新の教材が無料で追加されていきます。教材が陳腐化せず、昨今のセキュリティ事例や解説を反映しているから、いつ受講しても有用な情報が得られます。
セキュリオにはISMSやPマークの運用支援や、従業員の教育に役立つ機能が満載です。主だった機能として、以下があげられます。
- eラーニング
- 従業員アンケート(テスト機能)
- 内部監査
- 委託先管理/アンケート機能
- 情報資産管理台帳
- セキュリティ関連の法令管理
このほかにもISMSの運用に使える便利な機能を備えています。
14日間無料でEPスタンダードプランの機能をお試しいただけるトライアルもご用意しております。
「セキュリオ」で効果的な従業員教育、情報セキュリティ教育をご支援いたします。
まとめ
ISO 27001の認証取得において、従業員に十分な知識や権限があるかが問われます。事業における情報セキュリティリスクを回避し、ISMS運用を安定させるには継続的な教育が欠かせません。eラーニングや集合教育など、自社が無理なく実施でき、習得管理もしっかり行えるISMS教育の仕組みを導入しましょう。
