A.6.3 情報セキュリティの意識向上、教育及び訓練
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.6.3 |
| 分類 | 人的管理策 |
組織の要員及び関連する利害関係者は、職務に関連する組織の情報セキュリティ方針、トピック固有の方針及び手順について、適切な、情報セキュリティに関する意識向上、教育及び訓練を受け、定期的にその更新を受けなければならない。
要員及び関連する利害関係者が、情報セキュリティの責任を認識し、果たすことを確実にするため。
実施の手引き
Section titled “実施の手引き”情報セキュリティの意識向上、教育及び訓練プログラムには、以下を含める必要がある。
- 情報セキュリティ方針及び手順
- 情報セキュリティの役割と責任
- 脅威と脆弱性
- インシデント報告手順
- 法令・規制の要求事項
教育プログラム
Section titled “教育プログラム”| 種類 | 対象 | 頻度 |
|---|---|---|
| 入社時教育 | 新入社員 | 入社時 |
| 定期教育 | 全従業員 | 年1回以上 |
| 専門教育 | IT担当者等 | 随時 |
| 臨時教育 | 全従業員 | 必要時 |
| 内容 | 説明 |
|---|---|
| 方針・規程 | 情報セキュリティ方針、関連規程 |
| 脅威・リスク | 最新の脅威動向、リスク |
| 対策 | 具体的なセキュリティ対策 |
| インシデント対応 | 報告手順、初動対応 |
| 法令遵守 | 関連法令、コンプライアンス |
教育効果の測定
Section titled “教育効果の測定”- 受講率の管理
- インシデント発生状況の分析
- フィードバックの収集
当社における実施状況
Section titled “当社における実施状況”当社では、教育責任者(管理部責任者)が年1回以上の情報セキュリティ教育を実施している。教育内容には情報セキュリティ方針、個人情報の取扱い、脅威への対応等を含めている。
-
- 人的対策