セキュリティ入門Web講座

人的対策 ~ セキュリティ関連規程の記載事項について ~

前回から、「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回は人的対策です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

人的対策

広告枠・・・広告やリンク先の保証はしません

人的対策の内容

人的対策は人に対する対応です。
原文とは異なりますが、時系列に合わせると、次の順番になります。


広告枠・・・広告やリンク先の保証はしません

雇用時

雇用(入社)するときの対応です。
社内の情報資産を外部に公開しないなど、守秘義務を決めます。
具体的には、
  • 守秘義務契約の締結(個人)
  • 守秘義務に関する就業規則の制定(組織)
を行うようにします。

従業員の責務

従業員に対して、改めて、守秘義務に関する規定を設けます。
また、違反時の対応について、就業規則や守秘義務契約に決められた罰則に従う規定も設けます。

広告枠・・・広告やリンク先の保証はしません

教育

対策が進化していく情報セキュリティに関しては、継続的な教育が不可欠です。
このため、年度ごとに、責任者を決めてテーマを決め、全社員が受ける研修を実施する規定を設けます。

年度ごと

年度計画に入れやすくなるため、時期を決めた方がよく、実施しやすくなります。

責任者

前回の組織的対策で規定した教育の責任者を決める規定に基づいて、責任者が決まります。
責任者だけでは研修会の実施が難しい場合もあるので、担当者を選任して、対応するような規定を設ける場合もあります。

研修テーマ

研修のテーマとしては、次のような内容です。

  • 情報セキュリティ関連規程の説明(入社時・定期的)
  • 最新の攻撃情報などの注意喚起
  • 関係法令の説明
  • 個人情報に関する説明

ご注意

研修の講師は、必ずしも専門家である必要はありません
社内の人材でもよいですし、研修責任者や研修担当者が教材を用いて行うこともできます。

また、最近ではオンライン講座などもありますので、そちらを利用することもできます。
ただ、費用が必要ですので、予算が確保できるようであれば・・・となります。

広告枠・・・広告やリンク先の保証はしません

人材育成

専門家とまではいわないでも、社内に情報セキュリティに詳しい人材がいるだけでも、会社のセキュリティ対応が進みます。
この講座の主な対象である中小企業さんには、「そうは言われても、自社には詳しい人材はいない・・・」というところが多いでしょう。
ここで止まっていても詳しい人材はできないので、会社で教育費用を用意して、育成するような規定を設けるという規定です。
ただ、予算が確保できるかという問題もあるので、できるだけ設けた方が良いという感じです。
教育費用まではないということでしたら、資格取得の報奨金を出すなど、工夫をするようなことも考えましょう。

広告枠・・・広告やリンク先の保証はしません

退職時

退職後に社内の情報資産を公開されると困ることになります。
このため、守秘義務契約を締結し、次のような事を禁止します。
  1. 退社後は技術情報などを利用しない
  2. 引継ぎを行い、資料などはすべて社内に残し、退職者の手元に残らないようにする

次回は、「情報資産管理」のお話です。

タグ:, , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!