ISMS 奮闘記 - 第1話 - 情報セキュリティ教育

2022.07.18

こんにちは、じんないです。

弊社は2016年より ISO 27001 ISMS (情報セキュリティマネジメントシステム) の認証を取得しています。

本年2022年2月に二度目の再認証審査がありましたが、社員全員の協力あって無事通過できました。

私は MSEN で情報セキュリティ管理者を任されており、至らないながらも日々情報セキュリティの向上に奮闘しています。

情報セキュリティの仕事に従事して思ったことがひとつあり、それは情報セキュリティ管理者が行っていることや企業がどのような取り組みをしているのかという情報が少ないことです。

たしかに ISO 27001 の要求事項を満たし、PDCA のサイクルがきちんと回っていれば認証を取得できるかと思います。

ただ、せっかく頑張って取得した認証ですから、自分たちのものにできればもっと輝きを増すことでしょう。

弊社もまだまだ発展途上です。

同じように情報セキュリティ管理者として従事されている方、ISMS の認証を取らないまでも情報セキュリティを向上させたいとお考えの方。そんな方々へのお役に立てればと思い、弊社での取り組みを少しずつではありますが、紹介できればと思っています。

情報セキュリティ教育

第1話のテーマは 情報セキュリティ教育 です。

ISO 27001 要求事項には「力量を満たすために適切な教育や訓練をしましょうね」とあります。

弊社では毎月勉強会を開催しているのですが、その1コマを使って情報セキュリティ教育をしています。

具体的に実施している内容をいくつか紹介します。

昨年度の情報セキュリティ目的に「個人の情報セキュリティ意識向上」を掲げていて、その目的を達成するために情報セキュリティマネジメント試験の午前問題をみんなで解くということを実施しています。

午前問題は全50問択一形式です。毎月10問ずつ問題を解いて解説を見ながら理解を深めます。

この試験の午前問題には ISMS に関わる問題も多く、ISMS への関心や情報セキュリティのリテラシーを高めるのにもってこいです。

50問全部解き終わったら6回目に効果測定として実際に模擬試験を実施し、本試験と同じく60%以上の正答で合格としています。

ちょうど年2回で回せるのでキリもいいです。ちなみに、今のところ落ちた人はいません（笑）

過去問を解く時は情報セキュリティマネジメント試験ドットコムさんの Web ページが解説もあって便利です。

要求事項に基づいて、管理策を策定されていることと思います。弊社も ISMS マニュアルをはじめ、リスク管理規程や事業継続計画規程、安全管理規程に IT 管理規程などさまざまです。

その管理策を有効なものとするには、まず規程の理解を深めることが必要不可欠です。

そこで情報セキュリティ教育の一環として規程をみんなで輪読しています。

社員にこんな規程を定めているよと周知徹底することはもちろん、客観的に見ることでレビューも兼ねることができ一石二鳥です。

各規程は情報セキュリティ委員会でレビューしていますが、どうしてもやっている本人はわからなかったり見落としがあるものです。

今年度は「情報システムに関連する情報セキュリティの事象および弱点を報告できる取り組み」として、ヒアリハット目安箱 (Google Forms) を設置しました。日々の業務の中で感じたことを気軽に投稿してもらい、情報セキュリティの意識向上と改善を図ることが目的です。

投稿された内容は勉強会や情報セキュリティ委員会でレビュー予定です。

今後も具体的に実施している管理策など弊社での取り組みを発信していきます！

ではまた。