7.2 力量
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 箇条番号 | 7.2 |
| 分類 | 支援 |
組織は、次の事項を行わなければならない。
- a) 組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
- b) 適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。
- c) 該当する場合には、必ず、必要な力量を身に付けるための処置を講じ、講じた処置の有効性を評価する。
- d) 力量の証拠として、適切な文書化した情報を保持する。
ISMSの運用に関わる人々が必要な力量を備えていることを確実にし、情報セキュリティパフォーマンスの維持・向上を図るため。
当社における実施状況
Section titled “当社における実施状況”a) 必要な力量の決定
Section titled “a) 必要な力量の決定”当社では、情報セキュリティパフォーマンスに影響を与える役割ごとに、必要な力量を以下のとおり定めている。
| 役割 | 必要な力量 |
|---|---|
| 情報セキュリティ責任者 | 経営判断能力、情報セキュリティマネジメントの理解、法令・規制の知識 |
| システム管理者 | システム設計・運用スキル、セキュリティ技術の知識、インシデント対応能力 |
| インシデント対応責任者 | 技術的判断能力、リスク評価能力、コミュニケーション能力 |
| 教育責任者 | 教育企画・実施能力、情報セキュリティの基礎知識 |
| 一般従業員 | 情報セキュリティの基礎知識、社内規程の理解、インシデント報告の理解 |
b) 力量の確保
Section titled “b) 力量の確保”従業員の力量は、以下の方法により確保している。
採用時の確認
Section titled “採用時の確認”- 職務経歴書・履歴書による経験・スキルの確認
- 面接による適性評価
- 必要に応じた技術試験の実施
継続的な教育・訓練
Section titled “継続的な教育・訓練”教育責任者は、2. 人的対策に基づき、以下の教育を実施している。
- 入社時教育: 情報セキュリティ関連規程の説明、基本的なセキュリティ意識の醸成
- 年次教育: 年1回の情報セキュリティ研修(全従業員対象)
- 適時教育: 新たな脅威や注意喚起が必要な事項の共有(Slack等で実施)
c) 力量向上のための処置
Section titled “c) 力量向上のための処置”必要な力量が不足している場合、以下の処置を講じる。
| 処置 | 内容 | 有効性評価 |
|---|---|---|
| 社内研修 | 情報セキュリティ教育の実施 | 理解度確認、Slackリアクション |
| 外部セミナー | 専門知識の習得 | 受講報告、業務への適用状況 |
| OJT | 実務を通じた指導 | 業務遂行状況の確認 |
詳細は2. 人的対策 5. 人材育成を参照。
d) 力量の証拠
Section titled “d) 力量の証拠”力量の証拠として、以下の文書化した情報を保持している。
| 証跡 | 内容 | 保管場所 |
|---|---|---|
| 採用記録 | 職務経歴書、面接記録 | 人事管理システム |
| 教育実施記録 | 研修参加記録、カレンダー招待 | カレンダー、Slack |
| 理解確認記録 | Slackでの「理解しました」リアクション | Slack |
| 証跡 | 内容 | 保管場所 |
|---|---|---|
| 役割・力量定義書 | 各役割に必要な力量の定義 | ISMS文書管理システム |
| 教育計画 | 年間教育計画 | Google Drive |
| 教育実施記録 | 研修参加記録 | カレンダー、Slack |
| 人事記録 | 採用・異動・退職記録 | 人事管理システム |