メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.7 人的資源のセキュリティ その2

前回のところで、従業員の雇用前の対策についてお話をいたしましたが、今回は、従業員の雇用中に行う対策についてのお話です。

 

■管理目的「A.7.2雇用期間中」
ここでは、雇い入れた従業員や契約を取り交わした事業者に、自分たちの情報セキュリティの取組みにおける責任を認識してもらい、その責任を確実に遂行してもらう必要がある、とその目的を定義しています。どんなに良いルールを決めても、それを実行するのは従業員等の人です。しっかりと、そのルールの大切さをわかってもらい、確実なセキュリティ対策の実施が必要であります。

 

□管理策「A.7.2.1経営陣の責任」
ここでは、経営層の者が、組織で決めた規定等のルールや手順を、すべての従業員及び契約相手に要求することを求めています。決めたルールをただやらせましょう、といったものではなく、それをやるための役割ごとの責任及び権限を伝え、各人の自覚を促し、必要であれば、違反者を通報するための手続きを準備する等々、体制面からしっかりと固めていこうというものであります。

 

□管理策「A.7.2.2情報セキュリティの意識向上、教育及び訓練」
ここでは、すべての従業員に業務に関係するルールや手順について、意識向上のための教育や訓練を行うことを求めています。意識向上のための教育や訓練には、トップマネジメントのコミットメント、ルールや手順を熟知することの必要性、それらを順守することの必要性、自身がこれらを順守しなかった場合の責任等を含めます。また、必要な場合には契約相手にもこれらの教育や訓練を提供することも求めています。契約相手が業務において組織の資産に関わる場合には、これらの該当する教育や訓練を行う必要があります。

 

□管理策「A.7.2.3懲戒手続き」
ここでは、組織で決めたルールや手順に違反する等の情報セキュリティ違反を犯した従業員対して懲戒手続きを準備しておくことを求めています。罰則のないルールは効力を発揮しないといった原則に基づく管理策であります。懲戒手続きの中では、情報セキュリティ違反を明確に定義すること、懲戒手続きにはどのような措置が講じられるのかを定めておくことが必要です。また、意図的な違反に対しては緊急処置(警察への通報等)を考慮する必要もあるでしょう。

 

A.7.2は、性善説の考えからすると、やや重苦しい管理策のような印象を受けますが、やるべきことをしっかりやる、やらせることがたいへん重要なことでもあります。とくに昨今の情報セキュリティ事件や事故を見るからには、各人の自覚が欠如しているようなケースが多々見受けられます。従業員の皆さんが、しっかりと自覚を持つような、そんな取組みを組織内で継続的に行っていただければと思います。
このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ