今回も、4月の情報セキュリティマネジメント試験に向けた勉強内容をまとめていく。
コンテンツ
コンプライアンス
コンプライアンスは「法令遵守」とも言い、組織が定めた教育計画に従い、法令や規格、規範や情報セキュリティ諸規定を社員に周知させる。
コンプライアンスの意識を全社員に周知し高めていくには、繰り返し伝達を行うリカレント教育が必要だ。
また、実施後の効果測定も重要で、自部門や監査部門の評価に対する対応を継続して行っていく必要もある。
遵守すべき情報セキュリティ関連法規
- 個人情報保護法
- マイナンバー法
- 不正アクセス禁止法
- 特定電子メール法
情報セキュリティ教育
情報セキュリティにおいて社員に対する教育が非常に重要である。
いくら高度なセキュリティの仕組みを作ったところで、組織に一人でも意識レベルの低い社員がいれば、そこからセキュリティ事故が発生してしまうのだ。
社員全員のセキュリティ意識を高めるのは非常に困難な目標だが、地道なセキュリティ教育が求められる。
具体的な情報セキュリティ教育の内容については主に次のようなものが挙げられる。
- 組織の情報セキュリティポリシー
- 職務の方針と手順
- 情報セキュリティについての課題とその影響
情報セキュリティに関するアドバイス
情報セキュリティ管理者は普段から社員に対してアドバイスを行っていくことが重要だ。
また、社員が自ら情報セキュリティに関する疑問の解消、ノウハウを得ることができるように、FAQやナレッジを整備することも大切である。
内部不正による情報漏洩
内部不正による情報漏洩の場合、正しいアクセス権を持ったものによる行為が大半を占めるため、社員の意識やモラルの向上が非常に重要だ。
中には組織に対する恨みや、個人の金銭的な問題など、確信的に行為を起こす者もいる。
そのようなリスクに対応するよう、組織として内部不正防止ガイドラインを整備する必要がある。
これを一から作るのは難しいので、IPAセキュリティセンターが公開している「組織における内部不正防止ガイドライン」を雛形とし活用することも有効だ。