「経歴等によって従業者の情報セキュリティの理解度が異なるんだけど、教育内容ってどうすればいいの?」
情報セキュリティの担当者や教育担当者の方からよく上記のような意見をいただきます。
確かに、従業者によって理解度が異なる場合、誰にレベルを合わせるべきなのか、また、レベルに応じて教育内容を変える必要があるのかなど考えてしまいますよね。
そこで今回は、従業者の情報セキュリティの理解度が異なる場合の教育内容の決め方についてご紹介したいと思います。
どのレベルに合わせて教育を行うか
選択肢として、一般的には以下の3つが考えられるでしょう。
- 理解度の低い方に合わせる
- 理解度の中間に合わせる
- 理解度の高い方に合わせる
この中でおすすめの選択肢は「1.理解度の低い方に合わせる」です。
というのも、100人中99人セキュリティに対して高い理解度を持っていても、1人理解度が低い方がいると、その方が組織にとってのセキュリティ上の弱点になってしまう可能性があります。
そのため従業者のリテラシーレベルを一定以上にするためにも、組織の全体教育でどこかにレベルを合わせる必要がある場合は、理解度の低い方に合わせて教育を実施することをおすすめします。
ただ、低い方にレベルを合わせて教育を行い続けると、従業者のリテラシーレベルが一定以上にはならないということも言えます。
もし可能であれば、以下のような取り組みを検討してみることもおすすめです。
- 「2ヶ月に1回」や「毎月」など教育実施頻度を上げる
- 様々なテーマの教育を実施する
- レベル別に教材内容を分ける
ちなみに、レベル別に教材の内容を分ける場合、教材を作成する工数などの負荷が教育担当者にかかってしまいます。
もし教材を分けたい場合などには、あらかじめ教材が用意されており、なおかつ教育実施や管理自体も楽なEラーニングサービスなどの利用がおすすめです。
まとめ
今回は、従業者のリテラシーレベルが異なる場合の教育の考え方についてご紹介しました。
情報セキュリティインシデントの内、人的要因により発生するものも非常に多いです。
人的なセキュリティ弱点をカバーするためにも有効的な教育を行えるようにしましょう。
また、弊社では情報セキュリティコンサルタントによる教育実施やコンテンツ作成サービス、40種以上の情報セキュリティ関連教材を用意したEラーニング機能を含む情報セキュリティ教育クラウド「セキュリオ」のご提供などもありますので、ご興味があればぜひお気軽にお問合せください。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/blog/wp-content/themes/iso27001_ver4/images/f_tel.png)