「ISMS規格をわかりやすく解読する」シリーズの12回目は、「A.7 人的資源のセキュリティ」について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
A.7.1雇用前
A.7では、大きく「雇用前」「雇用期間中」「雇用終了」の3つのフェーズに分けて、管理策が定められています。
1つめは「雇用前」です。企業は、従業員を雇用する前に、その人の経歴を確認すると思いますが、その確認というのは、それに関連する法規や規制などに従わなければいけないということです。関連法規とは、労働基準法や雇用機会均等法などです。また、このような経歴の確認は、その人がどのような事業に携わるのか、社内のどんな情報にアクセスできるのかを考慮して行われる必要があります。
また、雇用の際の雇用契約書には、社内の情報を外部に持ち出さない、といったことを記した、情報セキュリティに関する責任を書いておく必要もあります。
A.7.2雇用期間中
経営陣は、組織に定められた情報セキュリティ方針を守ることを、社内の人間に要求する必要があります。その上で、社内の人間に対して、適切な情報セキュリティ教育を行わなければいけません。
また、もし、社内の人間が、情報セキュリティに関する何らかの違反を起こした場合の、懲戒手続きを定めておく必要もあります。
A.7.3雇用の終了及び変更
雇用が終了したからといって、社内の情報を流出させられては困ります。ここでは、雇用終了後も、情報セキュリティに関する責任は有効であることを再度徹底してもらうための方法を定める必要があることを要求しています。例えば、誓約書を交わすなどといったことです。