7.3 認識
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 箇条番号 | 7.3 |
| 分類 | 支援 |
組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。
- a) 情報セキュリティ方針
- b) 情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
- c) ISMS要求事項に適合しないことの意味
組織の管理下で働くすべての人々が、情報セキュリティの重要性を理解し、自らの役割と責任を認識することで、ISMSの有効な運用を支援するため。
当社における実施状況
Section titled “当社における実施状況”当社では、全従業員が情報セキュリティに関する認識を持つよう、以下の取り組みを実施している。
a) 情報セキュリティ方針の認識
Section titled “a) 情報セキュリティ方針の認識”従業員は、情報セキュリティ基本方針について、以下の機会に認識を深めている。
| 機会 | 内容 | 頻度 |
|---|---|---|
| 入社時教育 | 情報セキュリティ基本方針の説明と理解確認 | 入社時 |
| 年次研修 | 方針の再確認と最新情報の共有 | 年1回 |
| 方針改訂時 | 改訂内容の周知と理解確認 | 改訂時 |
情報セキュリティ基本方針は、ISMS文書管理システムにて常時閲覧可能な状態としている。
b) ISMSの有効性に対する自らの貢献
Section titled “b) ISMSの有効性に対する自らの貢献”従業員は、以下の点について認識を持つよう教育を受けている。
情報セキュリティパフォーマンス向上の便益
Section titled “情報セキュリティパフォーマンス向上の便益”- 顧客・取引先からの信頼獲得
- 情報漏えい・インシデントによる損害の防止
- 法令遵守による罰則・制裁の回避
- 業務の継続性確保
- 日常業務における情報セキュリティ規程の遵守
- 不審な事象の早期発見と報告
- セキュリティ意識の維持・向上
- 同僚への注意喚起と相互支援
詳細は2. 人的対策 2. 従業員の責務を参照。
c) ISMS要求事項に適合しないことの意味
Section titled “c) ISMS要求事項に適合しないことの意味”従業員は、ISMS要求事項に適合しない場合の影響について、以下のとおり認識している。
| 影響範囲 | 具体的な影響 |
|---|---|
| 組織への影響 | 情報漏えい、システム障害、顧客・取引先からの信頼喪失、法的責任 |
| 個人への影響 | 就業規則に基づく懲戒処分の対象となる可能性 |
| 社会への影響 | 個人情報の漏えいによる被害者の発生、社会的信用の失墜 |
違反時の懲戒については、就業規則に準じる。詳細は2. 人的対策を参照。
認識向上のための取り組み
Section titled “認識向上のための取り組み”教育責任者は、従業員の認識向上のため、以下の取り組みを実施している。
| 取り組み | 内容 | 実施方法 |
|---|---|---|
| 定期教育 | 情報セキュリティ研修 | 年1回の集合研修またはオンライン研修 |
| 適時共有 | 新たな脅威・注意喚起 | Slack等での情報共有 |
| インシデント共有 | 発生事例と教訓の共有 | 社内ミーティング、Slack |
| 外部情報活用 | IPA、JPCERT/CC等からの情報 | 1. 組織的対策に基づく共有 |
従業員の認識状況は、以下の方法で確認している。
- 教育実施後のSlackリアクション(「理解しました」等)
- 年次研修での理解度確認
- 日常業務における規程遵守状況の観察
| 証跡 | 内容 | 保管場所 |
|---|---|---|
| 教育実施記録 | 研修参加記録、カレンダー招待 | カレンダー、Slack |
| 理解確認記録 | Slackでの「理解しました」リアクション | Slack |
| 情報共有記録 | 脅威情報等の共有記録 | Slack |
| 秘密保持契約 | 入社時の契約書 | 人事管理システム |